Dwa podejścia do KRI
Obserwujemy wśród naszych klientów dwa podejścia do spełnienia wymagań, jakie stawia przed nimi Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności.
Jedni stawiają sobie za cel, aby „jakoś” rozwiązać problem i najmniejszym wysiłkiem stworzyć pozory, że ich systemy informatyczne są zgodne z Rozporządzeniem. Przeglądy systemów robione są siłami pochodzącymi „z łapanki” lub znalezionymi na rynku zgodnie z zasadą najniższej ceny. Dokumentacja bezpieczeństwa informacji jest skopiowana z wzorców, jakie można znaleźć w internecie. Można tak? Można, „jakoś” to będzie.
Na szczęście coraz częściej spotykamy się z podejściem odwrotnym, czyli ceniącym sobie JAKOŚĆ. Takie podejście ma jedną istotną wadę: kosztuje i wymaga wysiłku.
Czy warto postawić na JAKOŚĆ?
Po pierwsze: KRI to nie jest nasz lokalny wymysł, urzędnicza fanaberia, którą trzeba znieść jak wiele innych dolegliwych nikomu niepotrzebnych przepisów. To jest europejska inicjatywa, która została skonkretyzowana w 2010 roku w dokumencie „Europejskie Ramy Interoperacyjności”. Jej celem było uruchomienie w Unii Europejskiej procesów zmierzających do wspólnego podejścia administracji publicznej krajów członkowskich do spraw interoperacyjności i bezpieczeństwa informacji. Jeśli więc chcemy, aby nasze instytucje były częścią europejskiego systemu, powinniśmy podejmować wyzwania jakie stawia sobie Europa.
Po drugie: konkretną wartością jaką wnoszą Krajowe Ramy Interoperacyjności jest stworzenie jednolitego podejścia do:
• zasad wymiany informacji w ramach e-administracji, czyli pomiędzy urzędami oraz pomiędzy urzędami i obywatelami, przez określenie formatów danych i protokołów komunikacyjnych i szyfrujących, które powinny być wykorzystywane w oprogramowaniu interfejsowym,
• sposobów udostępniania informacji dla osób niepełnosprawnych,
• zasad budowania i doskonalenia Systemu Zarządzania Bezpieczeństwa Informacji.
Jeśli więc komuś zależy na tym, aby jego organizacja mogła bez przeszkód wymieniać informacje, aby mieć poczucie, że system w jakim się działa jest bezpieczny, a wreszcie, żeby zostały spełnione zasady respektujące ograniczenia osób niepełnosprawnych – z całą pewnością będzie chciał wdrożyć zalecenia KRI z należytą JAKOŚCIĄ.
Po trzecie: dobrze, profesjonalnie przeprowadzony audyt zgodności z KRI, to pierwszy kroczek na długiej drodze do osiągnięcia dobrego, dojrzałego Systemu Zarządzania Bezpieczeństwem Informacji. To wiedza o tym jak nasza organizacja funkcjonuje naprawdę, co nam zagraża, gdzie jesteśmy dziś. Dobrze przeprowadzony audyt charakteryzuje się zastosowaniem metodyki, która daje wynik mierzalny i powtarzalny. To pozwala doskonalić system bezpieczeństwa informacji, pozwala powtórzyć badanie po roku – i odpowiedzieć na pytanie, w jakich obszarach poprawiliśmy stan bezpieczeństwa i w jakim stopniu.
Własnymi siłami czy ze wsparciem?
KRI to około 70 wymagań dotyczących systemu informacyjnego, zdefiniowanych w 15 obszarach oraz około 40 wymagań dotyczących dokumentacji. Jeśli mamy wśród pracowników osoby dobrze znające rozporządzenie KRI, będące biegłymi audytorami, znające metodykę audytu – zapewne wykonają to zadanie dobrze. Tylko po co? Zawodowcy pracują z tymi metodykami na co dzień i regularnie doskonalą swój warsztat, dostosowując wiedzę do zmian w prawie. Zawodowcy dobrze wiedzą jak specyfika konkretnej instytucji powinna wpływać na kształt dokumentacji bezpieczeństwa. Czy warto, aby organizacja nie zajmująca się profesjonalnie takimi zadaniami na co dzień ponosiła takie koszty i angażowała w ten sposób swoje zasoby? Na to pytanie każdy musi odpowiedzieć sam. Ważne, żeby wygrała JAKOŚĆ.