Strefa wiedzy

Testy penetracyjne w Jednostkach Samorządu Terytorialnego – wymagania i potrzeby a rzeczywistość

12.07.2016

Istotność zagadnień dotyczących bezpieczeństwa informacji i szeroko-pojętej technologii informacyjnej nie budzi wątpliwości. Potwierdza to zarówno wzrost znaczenia technologii informacyjnej dla działalności przedsiębiorstw i instytucji, jak również duża liczba przykładów spektakularnych porażek w dziedzinie bezpieczeństwa systemów informatycznych.

W procesie budowania i utrzymywania infrastruktury informatycznej kluczową kwestią jest właściwa oceny stanu bezpieczeństwa informacji w danej organizacji. Oceny tej zwyczajowo dokonuje się przeprowadzając audyt bezpieczeństwa. Jedną z najistotniejszych czynności w ramach audytu jest ocena lub wykonanie analizy ryzyka w odniesieniu do poszczególnych aktywów informacyjnych, a także zagrożeń i podatności z nimi związanych oraz na tej podstawie określenie i ocena adekwatności stosowanych zabezpieczeń. W ten sposób rozumiany audyt bezpieczeństwa jest jednak niewystarczający ze względu na jego teoretyczny charakter. W celu bardziej praktycznej oceny bezpieczeństwa posiadanych i przetwarzanych informacji w systemach informatycznych warto przeprowadzić testy penetracyjne, które zakładają niejako wcielenie się w potencjalnego atakującego.

Mimo, że obowiązujące przepisy (Ustawy o Ochronie Danych Osobowych, a także Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych) wprost nie nakładają obowiązku przeprowadzania testów penetracyjnych, to ich wykonywanie powinno być stałą praktyką. Rozporządzenie KRI wymaga, aby były przeprowadzane okresowe audyty bezpieczeństwa (nie rzadziej niż raz na rok), stąd można domniemywać konieczności wykonywania testów penetracyjnych.

Szczególnie istotnym typem testów w kontekście działania JST, pozwalającym na ocenę bezpieczeństwa systemów teleinformatycznych są testy socjotechniczne. Pozwalają one z jednej strony na ocenę stosowania się pracowników do obowiązujących procedur, a z drugiej identyfikują braki w funkcjonujących procesach, których istnienie może przyczynić się do naruszenia bezpieczeństwa.

Potrzeba wykonywania testów penetracyjnych i socjotechnicznych, we wszystkich instytucjach przetwarzających dane obywateli, jest bezdyskusyjna. Słabości techniczne wykorzystywanych systemów, które nie mogą być dostrzeżone podczas audytu bezpieczeństwa, mogą zostać zidentyfikowane w czasie testów penetracyjnych. Dlatego testy stanowią niejako naturalne uzupełnienie audytu.

Z obserwacji Audytela wynika, że poziom świadomości w Jednostkach Samorządu Terytorialnego jest różny, jeżeli chodzi o praktyczne wykorzystanie testów penetracyjnych i socjotechnicznych to. Pewna, niewielka część JST przeprowadza cyklicznie kompleksowe testy penetracyjne traktując je jako nieodzowną część audytu bezpieczeństwa. Część przeprowadza testy penetracyjne w zakresie wybiórczym, obejmującym tylko pewny niewielki wycinek użytkowanej infrastruktury teleinformatycznej (np. jedynie skanowanie portów stacji roboczych i serwerów). Zdecydowana większość pomija ten aspekt, co może dość istotnie przyczynić się do zagrożenia wyciekiem informacji czy danych osobowych.

Autor: Marek Janiszewski

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.