Na temat bezpieczeństwie informacji w JST podczas Kongresu mówił dr Marcin Adamczyk, radca prawny, ekspert FRDL

Główny problem w JST to brak systemowego podejścia do zapewnienia bezpieczeństwa informacji. Polityka bezpieczeństwa informacji stanowi zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania. Wszystko zaczyna się od analizy własnego potencjału zasobów i planowania od zera. Jeśli wasze zagrożenie jest duże, to żaden ubezpieczyciel nie zechce z wami jako jednostką rozmawiać po wypełnieniu specjalnej ankiety.

Przypomnijmy, że obowiązek e-Doręczeń będzie występował już od 10 grudnia 2023 r. To oznacza, że jednostki samorządu terytorialnego i ich związki oraz związki metropolitalne i samorządowe zakłady budżetowe będą zobowiązane stosować przepisy ustawy w zakresie doręczania korespondencji z wykorzystaniem publicznej usługi rejestrowanego doręczenia elektronicznego. Obowiązek włączenia instytucji do Krajowego Systemu Doręczeń Elektronicznych oznacza, że od tej daty instytucja musi mieć adres do doręczeń elektronicznych zarejestrowany w bazie adresów elektronicznych, korespondencja między zobowiązanymi podmiotami oraz obywatelami i innymi podmiotami musi odbywać się za pośrednictwem systemu e-Doręczeń.

Każda instytucja musi mieć również wyznaczoną osobę, która będzie administratorem skrzynki do e-doręczeń. Niezbędne jest także wyznaczenie w jednostce osoby do współpracy z NASK-iem. Należy zawsze pamiętać, że podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Jak wyglądają najczęstsze błędy ujawniane w kontrolach i jakie wynikają z nich konsekwencje? Aż w 70% samorządów ujawniono brak obowiązkowego audytu z zakresu bezpieczeństwa informacji. Często instytucje nie organizują cyklicznych szkoleń dotyczących bezpieczeństwa informacji /nie szkoleń z RODO!/, ważne jest też prawidłowe udokumentowanie takiego szkolenia. Osoba odpowiedzialna za bezpieczeństwo informacji w urzędzie powinna pamiętać i przeprowadzać okresowe analizy ryzyka utraty integralności, poufności i dostępności.

Jak przygotować się do e-Doreczeń?

Rekomendujemy, aby instytucje, które będą miały obowiązek stosować e-Doręczenia, wcześniej przetestowały usługę. Udział w testach nie jest obowiązkowy, jednak pozwoli zapoznać się z procesem integracji i używania systemu e-Doręczeń oraz dostosować wewnętrzne procedury instytucji do nowych przepisów.

Co można zrobić już dziś?

1. Przeanalizować wewnętrzne procedury, regulaminy, instrukcje kancelaryjne ze względu na
integrację z systemem e-Doręczeń.
2. Wyznaczyć osoby do testowania.
3. Sprawdzić jak działają e-Doręczenia na środowisku testowym:
Instytucja, która ma system klasy EDZ, powinna:
- skontaktować się ze swoim dostawcą EZD i dowiedzieć się czy rozpoczął integrację z systemem e-
Doręczeń,
- przeanalizować zadania związane z integracją,
- wytypować osoby do testowania rozwiązania,
- złożyć wniosek o dostęp do środowiska testowego,
- przeprowadzić testy;

Instytucja, która nie ma systemu klasy EZD, powinna:
- wytypować osoby do testowania rozwiązania,
- złożyć wniosek o dostęp do środowiska testowego,
- przeprowadzić testy.

4. Wprowadzić niezbędne zmiany w regulacja wewnętrznych.
Co jeszcze zrobić?
- Powołaj zespół do wdrożenia nowych zasad;
- Rozpisz zadania ze wskazaniem daty ich wykonania;
- Dokonaj analizy potrzeb;
- Przetestuj nowe środowisko;
- Na listopad zaplanuj „audyt” przed wejściem w życie nowych rozwiązań oraz
przeszkól załogę;
- Sprawdź wewnętrzne dokumenty i dostosuj je, w tym Politykę bezpieczeństwa,
oraz upoważnienie administratora skrzynki do doręczeń.

Zapraszamy na szkolenia!

6 października - Katowice
18 października - Warszawa