Opis projektu
Najwyższa Izba Kontroli przyznała w raporcie z 2018 roku, że 48% badanych placówek publicznych nie dokonywało analiz ryzyka systemów informatycznych, a 70% nie przeprowadzało obowiązkowego, corocznego audytu z zakresu bezpieczeństwa informacji. Systemy informatyczne tych placówek publicznych gromadzą dane osobowe obywateli, a brak działań w zakresie poprawy bezpieczeństwa prowadzi do rażących zaniedbań. Do największych zagrożeń należą braki w systemowym podejściu do zarządzania bezpieczeństwem informacji oraz właściwych zabezpieczeń danych.
Według Najwyższej Izby Kontroli placówki publiczne nie są gotowe na zapewnienie wysokiego poziomu ochrony danych osobowych.
Badania
W odpowiedzi na powyższe wnioski dr Klaudia Skelnik, pracownik badawczo-naukowy Uniwersytetu WSB Merito w Gdańsku (dawniej Wyższa Szkoła Bankowa w Gdańsku), przeprowadziła badania w latach 2018-2020, dotyczące bezpieczeństwa informacji w instytucjach publicznych i podmiotach prywatnych. Badanie polegało na zebraniu niezbędnych informacji dotyczących zachowania bezpieczeństwa i ochrony danych osobowych.
Wnioski
Zrealizowane badania potwierdziły, że ponad połowa ankietowanych przedsiębiorstw nie uwzględniała mechanizmów ochrony danych osobowych w swoich systemach IT i jedynie 27% firm wdrażała konieczne zabezpieczenia.
Odnotowano brak należytej uwagi kierownictwa do zapewnienia bezpieczeństwa przetwarzanych danych wrażliwych, przechowywanych przez systemy technologii informatycznych. Wśród tych danych znajdują się nazwiska, adresy i numery PESEL. Z technologii informatycznych korzysta wysoki odsetek społeczeństwa, również w kontekście instytucji publicznych. W związku z tym obywatele oczekują zachowania bezpieczeństwa i środków ochrony ich danych na najwyższym poziomie.
Efekty
Rezultatem badań, było wskazanie najważniejszych mechanizmów działania w zakresie bezpieczeństwa informacyjnego, wśród których znalazły się: procedury planowania, organizowania, koordynacji i nadzoru w sferze bezpieczeństwa, opracowanie procedur działania oraz kompetencji poszczególnych organów w przypadku wystąpienia zagrożenia informacyjnego a także organizacja systemu szkoleni kadr.
Zastosowanie
Implikacje badań posłużyły wydaniu szeregu rekomendacji, wskazówek i opinii dotyczących rozwiązań proceduralnych w zakresie spełniania wymogów wdrożenia systemów ochrony informacji, zarówno u podmiotów publicznych jak i prywatnych.
Pozwoliło to zoptymalizować wdrażanie rozwiązań organizacyjnych, takich jak polityka bezpieczeństwa informacji, akty wewnętrznego kierowania określające budowę systemu ochrony danych osobowych, procedura klasyfikacji informacji, procedura uwierzytelniania, procedura bezpieczeństwa fizycznego i środowiskowego, polityka czystego biurka i ekranu, procedura usuwania i niszczenia danych i procedura szacowania ryzyka.
Utworzono DPIA (Data Protection Impact Assessment) czyli ocenę skutków dla ochrony danych a także wdrożono procedury audytów. Powołano stanowiska funkcyjne dedykowane do zadań związanych z ochroną danych wraz z określoną odpowiedzialnością za realizację polityki bezpieczeństwa. Jednostki współpracujące wdrożyły systemy bezpieczeństwa i zmiany w obiegu dokumentów wrażliwych.
Wiedza ekspercka została przekazana podczas konferencji naukowych i branżowych. Organizowane były warsztaty z partnerami projektu, na których ustalano i wdrażano konkretne rozwiązania na rzecz zapewnienia bezpieczeństwa informacji i ochrony danych.
Partnerzy
