Prieskum stavu informačnej bez pečnosti vo verejnej správe v Slovenskej republike

Transcription

1 Slovenskej republiky Prieskum stavu informačnej bez pečnosti vo verejnej správe v Slovenskej republike MINISTERSTVO FINANCIÍ SLOVENSKEJ REPUBLIKY KPMG NA SLOVENSKU

2 Obsah Úvod 3 Charakteristika prostredia 6 Riadenie rizík 14 Riadenie incidentov 16 Riadenie zmien IS 21 Vzdelávanie 28 Súlad s legislatívou 30

3 3 Úvod Vláda Slovenskej republiky sa vo svojom programovom vyhlásení zaviazala moder - nizovať verejnú správu a pridať sa k informatizačnému trendu, ktorý podporujú aj medzi národné organizácie (OECD, EÚ). Podstatnú zložku elektronickej verejnej správy tvorí aj riadenie informačných rizík, ktorých počet narastá úmerne s postupujúcou informatizáciou. Zámer riadenia informačnej bezpečnosti je definovaný v dokumente Národná stratégia pre informačnú bezpečnosť v SR 1. Medzi ciele stratégie patria najmä opatrenia proti úniku informácií a ich neoprávnenému použitiu, narušeniu integrity údajov, porušeniu práv občanov na ochranu osobných údajov, ochrana pred poškodzovaním a zneužívaním informačných a komunikačných systémov, poškodzovaním dobrého mena štátnych aj súkromných inštitúcií ako aj opatrenia na presadzovanie príslušných právnych noriem SR a Európskej únie. Pre potreby počiatočného zmapovania stavu informačnej bezpečnosti vo verejnej správe Ministerstvo financií SR (ďalej len Ministerstvo alebo MFSR ), ako ges - tor úloh z Národnej stratégie pre informačnú bezpečnosť v SR, vykonalo pries - kum stavu informačnej bezpečnosti v inštitúciách verejnej správy SR. Prieskum sa uskutočnil prostredníctvom dotazníka, ktorý bol zostavený a vyhodnotený spoločnosťou KPMG. Zber materiálu prebiehal elektronicky prostredníc - tvom elektronického formulára na webovej stránke Ministerstva. Overovanie adekvátnosti a pravdivosti získaných odpovedí v súčasnosti prebieha a je v kompetencii Ministerstva. Overovanie údajov nie je predmetom tejto publikácie. Doteraz overené údaje ešte nie sú zahrnuté do to h to materiálu. Predkladané výsledky prieskumu vychádzajú z pôvodných odpo vedí respondentov. Potenciálne neadekvátne odpovede sú v konkrétnej časti identifikované a je k nim pripojené aj vysvetlenie ich neadekvátnosti. Odpovede na otázky, ktoré respondenti nevyplnili, sú predmetom širšej analýzy vykonávanej Ministerstvom. Pokiaľ nie je uvedené inak, chýbajúce odpovede neboli zahrnuté do analýz, výsledkov a grafov. Prieskumu sa aktívne zúčastnilo 258 inštitúcií verejnej správy. Dvesto zástupcov týchto inštitúcií, ktorí boli zodpovední za vyplnenie dotazníka, zároveň deklaruje aj priamu zodpovednosť za riadenie informačnej bezpečnosti. Zozbieraný materiál bol vyhodnocovaný kvantitatívnymi metódami. Pre utvorenie lepšieho obrazu o stave informačnej bezpečnosti boli niektoré otázky a výsledky dané do súvislosti s inými, najmä z časti Charakteristika prostredia. Výber otázok, z ktorých sa tieto korelácie vytvárali, bol založený na predpokladoch a skúseno - s tiach tvorcov prieskumu z praxe v oblasti informačnej bezpečnosti z iných projektov. 1 Národná stratégia pre informačnú bezpečnosť v SR schválená uznesením vlády SR č. 570/2008

4 4 Skratky a pojmy používané v dokumente: KPMG KPMG Slovensko spol. s r.o. MFSR Ministerstvo financií SR VÚC vyšší územný celok IT informačné technológie IS informačné systémy ISVS informačné systémy verejnej správy IB informačná bezpečnosť OECD Organizácia pre hospodársku spoluprácu a rozvoj EÚ Európska únia SR Slovenská republika E-learning elektronické vzdelávanie Hlavné zistenia prieskumu Zodpovednosť za informačnú bezpečnosť je väčšinou ponechaná na pracovníkov zodpovedných za IT. V inštitúciách, ktoré nemajú dostatočné kapacity v rámci IT funkcie, je zodpovednosť prenesená na niektoré oddelenie infraštruktúry, prípadne distribuovaná medzi viacerých zamestnancov, ktorí nie sú špecialistami na otázky informačnej bezpečnosti ani IT. Z dôvodu rozpočtu i počtu zamestnancov a rozsahu úloh IT oddelenia nie je možné predpokladať, že by respondenti mali kapacity na vytvorenie pozície zamestnanca výhradne pre úlohy spojené s informačnou bezpečnosťou. Sami zamestnanci IT nie sú špecialistami na informačnú bezpečnosť a disponujú prevažne administrátorskými znalosťami informačných systémov. V inštitúciách verejnej správy nie je riadenie informačnej bezpečnosti samostatnou položkou v rozpočte. Dá sa predpokladať, že potrebné prostriedky sa zvyčajne vydeľujú bez systematického plánovania, podľa potreby. S vysokou pravdepodobnosťou, počet zaznamenaných incidentov významne zaostáva za počtom skutočných bezpečnostných incidentov. To znamená, že akékoľvek rozhodnutia o informačnej bezpečnosti vykonané na základe incidentov v minulosti budú so značnou pravdepodobnosťou neadekvátne a budú zaostávať za skutočnou potrebou. Podpora riadenia incidentov zo strany vedenia alebo zodpovedných osôb je malá a sporadická. Riadenie incidentov je skôr ad hoc záležitosťou, než systematic - kým procesom. Najzávažnejší dopad bezpečnostných incidentov videli respondenti v strate času zamestnancov, ktorí nemohli využívať zdroje zasiahnuté incidentom alebo zamestnanca, ktorý odstraňoval dôsledky incidentu. Vnímanie ohrozenia reputácie a citlivých údajov, ktoré spracúvajú dané organizácie, sa v prieskume neprejavilo.

5 5 Počet vykonaných analýz rizík je vcelku uspokojivý, prieskum však naznačuje, že výsledky analýz rizík sa primerane nepremietajú do definície bezpečnostných požiadaviek v projektoch. Len asi v polovici projektov zmien IS sú definované bezpečnostné požiadavky, čo je vzhľadom na možnú agendu inštitúcií verejnej správy nevyhovujúci stav. Najfrekventovanejšie požiadavky na projekty vychádzajú zo zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov. Za ním, avšak vo výrazne nižšej miere, nasledujú výnos Ministerstva dopravy, pôšt a telekomunikácií č. 1706/M-2006 o štandardoch pre informačné systémy verejnej správy a výnos Ministerstva financií Slovenskej republiky č. MF/013261/ o štandardoch pre informačné systémy verejnej správy. Postupy a požiadavky na testovanie informačných systémov nie sú dostatočne rozvinuté. Proces testovania je väčšinou ponechaný na zodpovednosti dodávateľa zmien. Vo väčšine prípadov má externá strana, ktorá implementuje a testuje zmenu, prístup ku kompletným produkčným údajom alebo ich kópiám. Kontrola kvality dodanej zmeny nie je dostatočná, o čom svedčia najmä počty zaznamenaných chýb po uvedení do prevádzky, prípade absolútna absencia za - znamenávania chýb systémov. Vzhľadom na citlivú agendu verejných inštitúcií je primerané vzdelávanie pracovníkov verejnej správy v oblasti informačnej bezpečnosti významnou slabinou. Nízka miera využívania Výnosu MFSR o štandardoch ISVS č. MF/013261/ zistená prieskumom ako aj malý počet auditov informačnej bezpečnosti u respondentov naznačujú, že súlad s legislatívou v oblasti informačných systémov verejnej správy významne zaostáva za oblasťou ochrany osobných údajov. Malý počet auditov informačnej bezpečnosti indikuje, že znalosť organizácií o skutočnom stave vlastnej informačnej bezpečnosti či miere napĺňania legislatívnych požiadaviek je pravdepodobne nízka.

6 6 Charakteristika prostredia Prieskumom sa autori snažili spoznať skutočnú prax riadenia informačnej bezpečnosti vo verejnej správe. Pre pochopenie konkrétnych praktík je nevyhnutné poznať prostredie, v akom sa vykonávajú. Môžu mať totiž rozdielny význam v inštitúcii iného typu, s inými procesmi, povinnosťami, aplikáciami a podobne. Cieľom tejto časti bolo teda pochopenie významu a dôležitosti informačnej bezpečnosti (ďalej aj IB ) v rámci iných pracovných postupov a povinností inštitúcie, spôsob zabezpečenia informačnej bezpečnosti a nepriamo aj náročnosť jej riadenia. Pri identifikácii prostredia boli rozhodujúce typ, veľkosť a povinnosti inštitúcie (napr. počet informačných systémov verejnej správy, počet spravovaných aplikácií a pracovných staníc a pod.). Typ a pôsobnosť inštitúcie ovplyvňuje informačnú bezpečnosť z niekoľkých hľadísk, ide najmä o zákonné požiadavky na zabezpečenie informačných systémov, hrozby pôsobiace na inštitúcie (pre rôzne agendy jednotlivých inštitúcií sú hrozby rôzne) a možnosti riadenia rizík (rozpočet, právomoci rozhodovania a tvorby stratégie a pod.). Zistenia o prostredí možno zhrnúť nasledovne: Zodpovednosť za informačnú bezpečnosť je väčšinou ponechaná na pracovníkov zodpovedných za IT. V menšej miere je zodpovednosť prenesená na niektoré oddelenie infraštruktúry v inštitúciách, ktoré nemajú dostatočné kapacity v rámci IT funkcie. V inštitúciách, kde nie je určené zodpovedné oddelenie alebo osoba, je zodpovednosť distribuovaná medzi viacerých zamestnancov, ktorí nie sú špecialistami na otázky informačnej bezpečnosti ani IT. Z dôvodu rozpočtu i počtu zamestnancov a rozsahu úloh IT oddelenia nie je možné predpokladať, že by inštitúcie mali kapacity na vytvorenie pozície zamestnanca výhradne pre informačnú bezpečnosť. Sami zamestnanci IT nie sú špecialistami na informačnú bezpečnosť a disponujú prevažne administrátorskými znalosťami informačných systémov. Veľkosť IT útvaru v organizácii vypovedá o predpokladoch organizácie na primeranú zrelosť prostredia riadenia informačnej bezpečnosti oveľa viac ako charakter inštitúcie. V inštitúciách verejnej správy netvorí riadenie informačnej bezpečnosti samostat nú položku v rozpočte IT oddelení, ani nie je vyvinutá metodika evidencie investícií do informačnej bezpečnosti. Dá sa predpokladať, že potrebné prostriedky sa zvyčajne riešia ad hoc podľa aktuálnej potreby. 1.1 Pôsobnosť inštitúcie Rozdelenie zúčastnených inštitúcií podľa pôsobnosti bolo nasledovné: ústredná štátna správa: 11 miestna štátna správa: 44 špecializovaná miestna správa: 29 VÚC: 11 mesto/obec: 75 záujmová samospráva: 0

7 7 akademická samospráva: 0 Iná: 86 (poskytovatelia zdravotnej starostlivosti, rozpočtové, neziskové alebo príspevkové organizácie, školy, štátne podniky) Dvaja respondenti neodpovedali a nezaradili svoju inštitúciu. 86 Pôsobnosť inštitúcií ústredná štátna správa miestna štátna správa špecializovaná miestná správa VÚC 29 mesto/obec záujmová samospráva akademická samospráva iná 1.2 Počet zamestnancov Štruktúra respondentov podľa počtu IT zamestnancov bola nasledovná: do 50 zamestnancov: 102 inštitúcií zamestnancov: 53 inštitúcií zamestnancov: 72 inštitúcií nad 1000 zamestnancov: 13 inštitúcií. Na otázku neodpovedalo 17 respondentov. 1.3 Počet zamestnancov na IT oddelení Z inštitúcií do 50 zamestnancov má žiadneho IT zamestnanca až 32 inštitúcií jedného IT zamestnanca 32 inštitúcií viac ako jedného 23 inštitúcií (do 10 IT zamestnancov). Z inštitúcií s zamestnancami má žiadneho IT zamestnanca 11 inštitúcií 1 IT zamestnanca 16 inštitúcií 2 10 IT zamestnancov 16 inštitúcií. Z inštitúcií s zamestnancami má žiadneho IT zamestnanca 5 inštitúcií 1 IT zamestnanca 13 inštitúcií do 10 IT zamestnancov 40 inštitúcií IT zamestnancov 6 inštitúcií.

8 8 Zúčastnené organizácie s viac ako 1000 zamestnancami majú 7-60 pracovníkov na IT oddelení, z toho: menej ako 10 IT zamestnancov má 5 inštitúcií viac ako 10 IT zamestnancov má 8 inštitúcií. Na otázku neodpovedalo 32 respondentov. Počet IT zamestnancov (podľa veľkosti inštitúcie) Veľkosť inštitúcie (počet zamestnancov) do nad IT zamestnancov 1 IT zamestnanec 2-10 IT zamestnancov viac ako 10 IT zamestnancov Počet inštitúcií Zo skúsenosti vyplýva, že vo väčšine inštitúcií, ktoré nemajú špecializované oddelenie bezpečnosti alebo riadenia rizík, za riadenie informačnej bezpečnosti zodpovedá IT oddelenie. Preto bol počet zamestnancov na oddelení IT a rozsah jeho zodpovedností významným údajom, voči ktorému sa sledovali aj iné ukazovatele stavu informačnej bezpečnosti v rámci tohto prieskumu. Podľa výsledkov prieskumu, väčšinu IT oddelení v inštitúciách verejnej správy predstavujú malé oddelenia s malým počtom zamestnancov. Ich hlavnou náplňou je správa systémov a podpora používateľov. Len ťažko sa v takýchto prípadoch dá predpokladať výrazná špecializácia v oblasti riadenia informačnej bezpečnosti. 1.4 Počet aplikácií v produkčnom prostredí Počet aplikácií podľa typu organizácie: inštitúcie ústrednej štátnej správy používajú 1 68 aplikácií miestna štátna správa 0 29 aplikácií špecializovaná miestna správa 2 16 aplikácií inštitúcie VÚC 0 30 aplikácií mestá a obce 0 80 aplikácií inštitúcie nezaradené do žiadnej konkrétnej kategórie 0 60 aplikácií (jedna inštitúcia využíva 590 aplikácií).

9 9 Počet aplikácií podľa veľkosti IT oddelenia: v inštitúciách bez vlastného IT oddelenia (45 inštitúcií) sa využíva 1 9 aplikácií (v jednej inštitúcii to je 17 aplikácií) IT oddelenia s 1 zamestnancom (64 inštitúcií) spravujú 1 16 aplikácií (vyskytla sa jedna inštitúcia s 35 aplikáciami) IT oddelenia do 10 zamestnancov (87 inštitúcií) 1 80 aplikácií, najpočetnejšie odpovede udávajú rozmedzie aplikácií IT oddelenia s viac ako 10 zamestnancami (v 14 inštitúciách) spravujú 5 68 aplikácií. Výsledky tejto otázky nenaznačujú, že by sa počet aplikácií v jednotlivých inštitúciách riadil nejakým vzorom alebo závislosťou na type inštitúcie. Počet používaných aplikácií skôr závisí od autonómneho rozhodnutia inštitúcie a významnejšie nekoreluje s inými charakteristikami stavu a zrelosti prostredia IB v organizácii. 1.4 Počet pracovných staníc Počet pracovných staníc v inštitúciách štátnej správy sa pohybuje od 0 do , celkový počet pracovných staníc vo všetkých zúčastnených inštitúciách verejnej správy je Počet pracovných staníc podľa veľkosti IT oddelenia: v inštitúciách bez vlastného IT oddelenia (45 inštitúcií), v 24 inštitúciách nespravujú žiadnu pracovnú stanicu, v ostatných spravujú 1 69 IT oddelenia s 1 zamestnancom (64 inštitúcií) spravujú pracovných staníc IT oddelenia do 10 zamestnancov (87 inštitúcií) pracovných staníc IT oddelenia s viac ako 10 zamestnancami (v 14 inštitúciách) spravujú pracovných staníc. Počet pracovných staníc na IT pracovníka podľa typu inštitúcie: V inštitúciách ústrednej štátnej správy (11 inštitúcií) je pomer počtu pracovných staníc na IT zamestnanca :240. To znamená, že na jedného IT zamestnanca v týchto inštitúciách pripadá približne 114 pracovných staníc. V inštitúciách miestnej štátnej správy (44 inštitúcií) je pomer pracovných staníc na 87,3 IT pracovníka, to je asi 28,5 pracovných staníc na jedného IT zamestnanca. Špecializovaná miestna správa má priemerne 29 pracovných staníc na jedného IT zamestnanca. V inštitúciách VÚC (11 inštitúcií) je tento pomer 1 374: 28, t.j. 49 pracovných staníc na jedného IT zamestnanca. Pre mestá a obce (75 zúčastnených inštitúcií) spravuje pracovných staníc 156 IT zamestnancov, t.j. 24 pracovných staníc na jedného IT zamestnanca. V inštitúciách, ktoré nie sú zaradené do ostatných kategórií (86), je pomer : 719,9, t.j. asi 31 pracovných staníc na jedného IT zamestnanca.

10 10 Počet PC na jedného zamestnanca IT ústredná št. správa Pôsobnosť inštitúcie miestna št. správa špec. št. správa VÚC mestá a obce iná Počet PC Výsledky prieskumu indikujú u väčších inštitúcií (počet zamestnancov a pracovných staníc) väčšiu mieru štandardizácie vybavenia. To im umožňuje dosahovať vyššiu efektivitu a zároveň aj potenciálne vyššiu schopnosť napĺňať požiadavky štandardizačných rámcov. Počet pracovných staníc tiež indikuje celkový stav informatizácie práce zamestnancov inštitúcií a veľkosť rizika, ktoré narastá s každou pracovnou stanicou a informatizovaným procesom. 1.5 Počet IS spracúvajúcich osobné údaje Sedem odpovedí respondentov (školy, domov sociálnych služieb, obecný úrad) naznačuje, že nemajú žiadny informačný systém, ktorý spracováva osobné údaje. Jeden informačný systém, v ktorom sa spracúvajú osobné údaje, využíva 47 inštitúcií, 169 inštitúcií má takéto systémy najmenej dva (najviac až 68). Na otázku neodpovedalo 33 respondentov, takže nemožno určiť, či a koľko takýchto systémov používajú. Predpokladáme však, že drvivá väčšina inštitúcií, ak nie všetky, takýto systém má, minimálne pre vlastné interné potreby (napríklad mzdové systémy). 1.6 Počet ISVS Až 145 respondentov uviedlo, že ich inštitúcia prevádzkuje informačný systém v zmysle zákona č. 275/2006 Z.z. o informačných systémoch verejnej správy v znení neskorších predpisov (ďalej len ISVS). Počet ISVS podľa veľkosti IT oddelenia: 1 17 informačných systémov verejnej správy majú v 30 inštitúciách bez IT zamestnancov (z toho v 15 inštitúciách bez IT zamestnancov nemajú žiaden ISVS) IT oddelenia s 1 zamestnancom (64 inštitúcií) spravujú 1 29 ISVS (z toho v 16 nemajú žiaden ISVS) IT oddelenia do 10 zamestnancov (87 inštitúcií) 1 38 ISVS (6 inštitúcií nemá ISVS) IT oddelenia s viac ako 10 zamestnancami (v 14 inštitúciách) spravujú 1 34 ISVS (v 3 inštitúciách nemajú žiaden ISVS).

11 11 Počet ISVS podľa typu organizácie: ústredná štátna správa (11 inštitúcií) spravuje 0 až 44 ISVS miestna štátna správa (44 inštitúcií) spravuje 0 až 20 ISVS špecializovaná miestna správa (29 inštitúcií) spravuje 0 až 29 ISVS VÚC (11 inštitúcií) spravuje 1 až 30 ISVS mestá a obce (75 inštitúcií) spravujú 0 až 38 ISVS iné inštitúcie (86 inštitúcií) spravujú 0 až 11 ISVS. Neočakávane vysoké počty ISVS, ktoré vyplývajú z tejto otázky, možno vysvetliť nepochopením otázky alebo neznalosťou problematiky a definície pojmu ISVS. Počty, ktoré respondenti uviedli, nie sú pravdepodobné, čo naznačujú aj výsledky iných otázok o povinnostiach IT oddelení. 1.7 Rozpočet na informačnú bezpečnosť Otázka sa zameriavala na odhad percenta prostriedkov vynakladaných na riadenie informačnej bezpečnosti z celkového rozpočtu na IT. Rozsah rozpočtov v jednotlivých typoch inštitúcií vyzerá nasledovne: v ústrednej štátnej správe vynakladajú od 0% do 24% z rozpočtu IT na IB (6 z 11 inštitúcií 5% a menej) v inštitúciách miestnej štátnej správy je to 0 23% špecializovaná miestna správa do 20% VÚC do 10 % mestá a obce do 10% v bližšie neurčených inštitúciách (kategória Iné) je to 0 25%. Náklady na riadenie informačnej bezpečnosti neevidujú štyri zúčastnené inštitúcie. Odpovede od 31 respondentov sa nedali vyhodnotiť, pretože odpovedali v absolútnych číslach. Výsledky tejto otázky nie je možné primerane interpretovať, nakoľko čísla, ktoré respondenti zadali, majú príliš veľký rozptyl. Rôznorodosť a nepresnosť odpovedí môže byť spôsobená tým, že v inštitúciách nemajú presnú metodiku merania investícií do informačnej bezpečnosti a zadané odpovede boli hrubým odhadom. Svoju úlohu mohlo zohrať aj neporozumenie otázke (absolútne čísla). Nejasnosť odpovedí môže naznačovať, že informačná bezpečnosť sa nerieši ako samostatná agenda ani v rámci IT, ale len ako ad hoc téma a podobne sa pristupuje aj k prideľovaniu rozpočtu. 1.8 Oddelenie zodpovedné za riadenie informačnej bezpečnosti Rozdelenie zodpovednosti za riadenie informačnej bezpečnosti v inštitúciách verejnej správy je nasledovné: v 47 inštitúciách nie je zodpovednosť pridelená žiadnemu oddeleniu oddelenie IT v 90 inštitúciách

12 12 oddelenie bezpečnosti v 7 inštitúciách oddelenie kontroly, revízie, auditu v 3 inštitúciách ekonomické alebo finančné oddelenie v 24 inštitúciách oddelenie vnútorných/centrálnych služieb v 11 inštitúciách iné: 73 (organizačný odbor, správny odbor, personálne oddelenie, vedenie školy a pod.) Oddelenie zodpovedné za IB 47 žiadne oddelenie 73 IT oddelenie oddelenie bezpečnosti oddelenie kontroly, revízie, auditu 11 ekonomické alebo finančné oddelenie oddelenie vnútorných/centrálnych služieb iné oddelenie Výsledky tejto otázky potvrdzujú v praxi zaužívaný model zodpovednosti za informačnú bezpečnosť a jej pridelenie odboru informatiky. Pri nedostatočných ľud - ských zdrojoch na IT oddelení je táto povinnosť prenesená na iné odbory infraštruktúry (ekonomické, personálne a pod.). Pri malých inštitúciách (najmä mestá, obce, školy) je zodpovednosť ponechaná na vedení, prípadne všetkých či viacerých zamestnancoch. Prenechanie zodpovednosti sa javí ako nezávislé k celkovému počtu zamestnancov (existujú aj inštitúcie s väčším počtom zamestnancov, ktoré ale majú malé IT a zodpovedné je niektoré oddelenie infraštruktúry). 1.9 Osoba zodpovedná za riadenie informačnej bezpečnosti Zodpovednosť za informačnú bezpečnosť je podľa odpovedí respondentov vo väčšine inštitúcií zosobnená, t.j. je určená konkrétna osoba. Ak je určené zodpovedné oddelenie, zodpovednou osobou je zamestnanec na vedúcej pozícii tohto oddelenia. V 44 inštitúciách, prevažne v obecných a mestských úradoch, nie je jasne určená zodpovednosť za informačnú bezpečnosť. Riadiaci pracovník IT je zodpovedný v 56 inštitúciách, väčšinou v školách, nemocniciach. Radový zamestnanec IT je zodpovednou osobou v 45 inštitúciách, ide najmä o mestá/obce, miestnu štátnu správu. Pozíciu zamestnanca výhradne pre informačnú bezpečnosť má v rámci IT zriadenú 10 inštitúcií. Podobná vyhradená pozícia mimo IT existuje v 6 inštitúciách. Špecialista v nemanažérskej pozícii je zodpovedný v 6 inštitúciách. V 76 inštitúciách sú zodpovední bližšie nešpecifikovaní zamestnanci, väčšinou sú to riaditeľ školy, starosta obce, externí zamestnanci, zamestnanci ekonomického oddelenia a v jednej inštitúcii je to právnik.

13 13 Osoba zodpovedná za IB nie je určená riadiaci pracovník IT radový zamestnanec IT vyhradený zamestnanec v rámci IT vyhradený zamestnanec mimo IT špecialista v nemanažérskej pozícii iná osoba 1.10 Počet zamestnancov na oddelení zodpovednom za riadenie informačnej bezpečnosti Výsledky tejto otázky naznačujú, že v inštitúciách, ktoré nemajú IT oddelenie (ani špecializované oddelenie bezpečnosti), je zodpovednosť za riadenie informačnej bezpečnosti distribuovaná medzi viacerých zamestnancov. Týchto je dokonca viac ako v inštitúciách, v ktorých existuje silnejšia pozícia zodpovedného zamestnanca (otázka 1.11). Dá sa však predpokladať, že otázkam informačnej bezpečnosti venujú len malú časť svojho pracovného času. V inštitúciách s takto distribuovanou zodpovednosťou sú zodpovední zamestnanci z rôznych oddelení infraštruktúry (ekonomické, právne, personálne a pod.) V inštitúciách, kde IT oddelenie existuje a je zodpovedné za riadenie informačnej bezpečnosti (otázka 1.8), sa počet zodpovedných zamestnancov približne zhoduje s počtom zamestnancov IT oddelenia. To môže indikovať, že popri IT oddelení nie sú do riadenia informačnej bezpečnosti zapojení ďalší zamestnanci a zodpovednosť je ponechaná prevažne len na IT oddelení Ďalší zamestnanci zodpovední za riadenie informačnej bezpečnosti Počet ďalších zamestnancov, okrem tých primárne zodpovedných za riadenie informačnej bezpečnosti, sa v jednotlivých inštitúciách pohyboval väčšinou v rozsahu 1 3, maximálny počet bol 15. V 103 inštitúciách nie je určený žiaden ďalší zamestnanec zodpovedný za riadenie informačnej bezpečnosti. Veľa z týchto inštitúcií nemá žiadne alebo má len malé IT oddelenie. V 59 prípadoch je určený jeden ďalší zamestnanec spoluzodpovedný za informačnú bezpečnosť. Je tomu tak v inštitúciách s IT oddelením s 1 10 zamestnancami. V 84 inštitúciách s počtom IT zamestnancov do 100 (max. 85) sú spoluzodpovední ďalší dvaja zamestnanci. Pomerne vysoký počet ďalších zodpovedných zamestnancov existuje v inštitúciách miest a obcí a v školách, ktoré nemajú IT oddelenia. Dá sa predpokladať, že istým spôsobom je väčšia časť zamestnancov čiastkovo zapojená do procesov riadenia informačnej bezpečnosti.

14 14 Riadenie rizík Keďže analýza rizík by mala byť jedným z prvých krokov v postupe budovania mechanizmov riadenia informačnej bezpečnosti, výsledky tejto časti prieskumu poukazujú práve na uvedomenie si jej dôležitosti. Analýza rizík pomáha dotvoriť obraz o východiskovej situácii inštitúcie. Spolu s poznatkami o možnostiach a schopnostiach riadenia informačnej bezpečnosti tvorí základ pre tvorbu stratégie zavádzania opatrení informačnej bezpečnosti. Súhrnné výsledky tejto časti prieskumu sú nasledovné: Stav vykonaných analýz rizík v inštitúciách verejnej správy je uspokojivý, veľká časť inštitúcií ju vykonala a vykonané analýzy sú pomerne aktuálne. Zodpovednosť za vykonanie analýzy rizík kopíruje model zodpovednosti za celé riadenie informačnej bezpečnosti v inštitúciách, kde analýzu robia vo vlastnej réžii. To znamená, že autormi sú najmä zamestnanci IT oddelení. Pri takejto realizácii analýzy rizík a riadenia IB z vlastných zdrojov, je kvalita výkonov v procesoch IB otázkou špecializácie a schopností zamestnancov inštitúcie (IT oddelenia). Druhou najväčšou skupinou autorov analýzy rizík sú externí dodávatelia. Pri takomto modeli je kvalita dodávaných služieb otázkou požiadaviek a kontrolných mechanizmov. 2.1 Majú inštitúcie zdokumentované informačné riziká? Z 258 inštitúcií 180 uviedlo, že majú zdokumentované informačné riziká. 2.2 Analýza rizík Na otázku, kedy naposledy vykonali organizácie analýzu rizík, odpovedali respondenti nasledovne: 36 inštitúcií vykonalo poslednú analýzu rizík pred pol rokom 58 inštitúcií vykonalo analýzu rizík pred rokom 41 inštitúcií tak spravilo pred 2 rokmi 36 ostatných inštitúcií datuje svoju aktuálnu analýzu do obdobia rokov inštitúcií ešte nikdy neanalyzovalo svoje informačné riziká. Posledné vykonané analýzy rizík pred pol rokom pred rokom pred 2 rokmi nikdy 41

15 Kto vykonal analýzu rizík? Pri vykonávaní analýzy rizík sa inštitúcie môžu spoliehať na externé strany alebo ju môžu vykonať vo vlastnej réžii. Z výsledkov tejto otázky vyplýva, že na vlastné kapacity sa spolieha približne rovnaký počet respondentov ako na externé služby. Konkrétne analýzy vykonali tieto externé strany alebo oddelenia: oddelenie IT vykonalo 62 analýz oddelenie kontroly, revízie, auditu 9 analýz oddelenie bezpečnosti 1 analýzu externý audítor 42 analýz iné oddelenia (ekonomické, správny alebo organizačný odbor) vykonali 35 analýz iné externé strany vykonali 74 analýz. Autori analýzy rizík oddelenie IT oddelenie kontroly, revízie, auditu oddelenie bezpečnosti externý audítor iné oddelenie (ekonomické, správny alebo organizačný odbor) iné externé strany Vo výsledkoch nie sú zarátané odpovede 14 inštitúcií, v ktorých nebola vykonaná analýza rizík. Približne polovica inštitúcií sa pri vykonávaní analýzy rizík spolieha na vlastné zdroje. Autormi analýzy sú najmä IT alebo iné oddelenie zodpovedné za informačnú bezpečnosť (organizačné oddelenia infraštruktúra). Vo väčšine prípadov je autorom analýzy rizík oddelenie, ktoré zodpovedá za informačnú bezpečnosť. Druhá polovica analýzy rizík vo verejnej správe bola vykonaná externými stranami.

16 16 Riadenie incidentov Schopnosť efektívne riadiť incidenty to znamená ich prevencia, detekcia a náprava je jednou z nosných častí riadenia informačnej bezpečnosti. Nutnou podmienkou riadenia incidentu je schopnosť incident rozoznať. O tejto schopnosti svedčia otázky o počte a charaktere zaznamenaných incidentov. Zvyšné otázky tejto časti sa zameriavali na vyspelosť postupov riadenia, a to po formálnej stránke i v konkrétnej praxi, najmä rozdelenie zodpovednosti za riešenie incidentu. Dôležitou súčasťou riadenia je podpora a kontrola procesov zo strany vedenia a zodpovedných osôb, ktorá sa prejaví na vyvodzovaní dôsledkov a opatrení na základe správ o priebehu incidentu. V oblasti riadenia incidentov informačnej bezpečnosti vo verejnej správe prieskum identifikoval tieto hlavné zistenia: Procesy v oblasti riadenia incidentov sú nedostatočne formalizované a absentuje povedomie o tom, čo je incident informačnej bezpečnosti. Počet zaznamenaných incidentov s vysokou pravdepodobnosťou významne zaostáva za počtom skutočných bezpečnostných incidentov. To znamená, že akékoľvek rozhodnutia o informačnej bezpečnosti vykonané na základe incidentov v minulosti budú so značnou pravdepodobnosťou neadekvátne a budú zaostávať za potrebou praxe. Podpora riadenia incidentov zo strany vedenia alebo zodpovedných osôb je malá a sporadická. Riadenie incidentov je skôr ad hoc záležitosťou než samostatnou agendou. Adekvátne zhodnotenie a uvedomenie si dopadov incidentu je nedostatočné. Najzávažnejší dopad videli respondenti v strate času zamestnancov, ktorí nemohli využívať zdroje zasiahnuté incidentom, alebo v strate času zamestnanca, ktorý odstraňoval dôsledky incidentu. 3.1 Počet incidentov za posledný rok Až 168 inštitúcií nezaznamenalo za posledný rok žiaden bezpečnostný incident, z toho 2 inštitúcie ústrednej štátnej správy 30 inštitúcií miestnej štátnej správy 20 inštitúcií špecializovanej štátnej správy 8 vyšších územných celkov 54 miest alebo obcí a 51 inštitúcií nezaradených. Medzi inštitúciami, ktoré nezaznamenali žiaden bezpečnostný incident, sú aj veľké inštitúcie ústrednej štátnej správy.

17 17 Počet inštitúcií, ktoré nezaznamenali incident 2 30 inštitúcie ústrednej štátnej správy 51 inštitúcie miestnej štátnej správy 20 inštitúcie špecializovanej štátnej správy vyššie územné celky 8 mestá a obce 54 nezaradené inštitúcie To, že nejaká inštitúcia nezaznamená žiaden incident, je neočakávaný a málo pravdepodobný stav. Incidenty sa prirodzene vyskytujú v každom prostredí. Preto, napriek všeobecnému predpokladu, nízky (alebo žiadny) počet zaznamenaných incidentov nesvedčí o dobrej bezpečnosti prostredia, ale skôr o nedostatočne rozvinutej metodike ich zaznamenávania a riadenia. A naopak, veľký počet zaznamenaných incidentov neznamená nevyhnutne zlú bezpečnosť. Môže poukazovať aj na vysokú uvedomelosť používateľov a efektívne mechanizmy zaznamenávania incidentov. Vysoký počet podobných odpovedí môžeme vysvetliť dvomi príčinami. Respondenti podľahli tlaku otázky a odpovedali na základe vlastného predpokladu, že žiaden incident je správna odpoveď. Ďalším možným vysvetlením je, že v týchto inštitúciách nie sú rozvinuté procesy riadenia a evidencie incidentov. V 21 inštitúciách bol zaznamenaný jeden bezpečnostný incident, 56 inštitúcií za - znamenalo 2 20 incidentov, 6 inštitúcií zaznamenalo 34 až 75 incidentov. Niekoľko respondentov v odpovedi uviedlo veľmi konkrétne čísla. To by mohlo poukazovať minimálne na existujúcu metodiku evidencie incidentov aj s existujúcou definíciou incidentu. Každopádne je počet týchto respondentov (presné číslo uviedli 8 respondenti) veľmi malý na to, aby sa dala predpokladať rozšírenosť nejakej metodiky evidencie bezpečnostných incidentov vo verejnej správe. 3.2 Počet incidentov nahlásených používateľmi Väčšina respondentov udáva rovnaký počet incidentov nahlásených používateľmi ako celkový počet zaznamenaných incidentov. Tieto čísla však vyznievajú skôr ako hrubé odhady a nemali by byť interpretované ako prejav uvedomelosti používateľov v týchto inštitúciách, skôr ako dôsledok nepresnej metodiky zaznamenávania alebo použitej pracovnej definície incidentu. V 34 odpovediach uvádzajú respondenti počet incidentov väčší ako počet incidentov nahlásených používateľmi. V 8 prípadoch bol počet zaznamenaných incidentov menší ako počet incidentov nahlásených používateľmi. Tieto odpovede môžu svedčiť o nedostatočnej evidencii zaznamenaných/nahlásených incidentov alebo o nízkej vyzretosti procesu ich riadenia. Predpokladom je, že počet zaznamenaných incidentov by mal byť vyšší ako počet nahlásených, minimálne však rovný.

18 18 Podobne ako v predchádzajúcej časti, aj výsledky tejto otázky môžu naznačovať zlú metodiku evidencie incidentov alebo chyby formálneho riadenia incidentov. Zo skreslených výsledkov na tieto dve otázky o počte zaznamenaných incidentov vyplýva, že systém riadenia incidentov vo verejnej správe nie je dostatočne rozpracovaný. Preto ich výsledky považujeme za dôkaz neexistujúcej, resp. nevypracova - nej metodiky zaznamenávania incidentov, a nie za obraz skutočného stavu informačnej bezpečnosti a počtu incidentov. 3.3 Najzávažnejšie incidenty Až 141 respondentov na otázku o najzávažnejšom incidente za posledný rok neodpovedalo alebo odpovedali, že nemali incident. Medzi najzávažnejšie zaznamenané incidenty respondenti radia tieto: vírus (43 respondentov), výpadok softvéru (38), výpadok elektrickej siete (13), po - rucha hardvéru (10), výpadok sieťového pripojenia (7), krádež zariadení (5), neoprávnený prístup treťou stranou (4), spam v pošte (3), únik informácií (3), prelomenie hesiel (2), chyby dát spôsobené nesprávnou obsluhou (2), neoprávnené in š ta lácie softvéru (2). Početnosť incidentov označených ako najzávažnejšie vírus výpadok softvéru výpadok elektrickej siete porucha hardvéru výpadok sieťového pripojenia krádež zariadení neoprávnený prístup treťou stranou spam v pošte únik informácií prelomenie hesiel chyby dát spôsobené nesprávnou obsluhou neoprávnené inštalácie softvéru Incident Početnosť Typy incidentov, ktoré respondenti udávali, sa nelíšia od najzávažnejších hrozieb, ktoré pociťujú účastníci Prieskumu stavu informačnej bezpečnosti uskutočnených v minulých rokoch. Početnosti výskytu incidentov sa líšia iba mierne.

19 19 Väčšina respondentov neodhadla dopady týchto incidentov pre inštitúciu alebo podľa nich žiaden dopad nemali. Dopad na inštitúciu sa snažilo odhadnúť len 16 respondentov. Najzávažnejší dopad videli v strate času zamestnancov, ktorí nemohli využívať zdroje zasiahnuté incidentom alebo v strate času zamestnanca, ktorý odstraňoval dôsledky incidentu (napr. odstraňoval vírus). 3.4 Frekvencia súhrnnej správy o bezpečnostných incidentoch vedeniu Nepravidelné intervaly poskytovania správ o bezpečnostných incidentoch vyššiemu vedeniu inštitúcie naznačuje 141 odpovedí. Podľa potreby správy podávajú v prípade závažnejšieho incidentu (77 respondentov) alebo v prípade akéhokoľvek incidentu (64 respondentov). Pravidelne sa takáto správa podáva iba v 22 inštitúciách (týždenne a častejšie tak robí 1 inštitúcia, mesačne 3, štvrťročne 3, niekoľkokrát ročne 1, ročne 9, menej ako jedenkrát ročne 5). Pravidelné správy a zároveň priebežné správy podľa potreby naznačujú iba 3 odpovede. 38 respondentov odpovedalo, že nikdy neposkytujú súhrnnú správu a 42 respondentov nevybralo žiadnu z ponúkaných možností. Frekvencie správ o incidentoch vedeniu v prípade závažnejšieho incidentu v prípade akéhokoľvek incidentu týždenne mesačne 38 štvrťročne niekoľkokrát ročne ročne menej ako raz ročne nikdy nezodpovedané 3.5 Ako často dostáva osoba zodpovedná za IB správu o bezpečnostných incidentoch? Pri sporadickom hlásení bezpečnostných incidentov podľa potreby sa správa dostáva do rúk osoby zodpovednej za IB v 71 inštitúciách v prípade závažnejších incidentov a v 91 inštitúciách v prípade akéhokoľvek incidentu. V inštitúciách s pravidelným súhrnom bezpečnostných incidentov sa správa dostáva do rúk osoby zodpovednej za IB štvrťročne (2 inštitúcie), niekoľkokrát ročne (1), ročne (1), či menej ako jedenkrát ročne (4).

20 20 V 32 inštitúciách nedostáva zodpovedná osoba správu o bezpečnostných incidentoch vôbec. Na otázku neodpovedalo 33 respondentov. Výsledky posledných dvoch (3.4 a 3.5) otázok naznačujú, že pravidelná podpora riadenia informačnej bezpečnosti nie je zaužívaným modelom v inštitúciách verejnej správy. 3.6 Spôsob podávania správy o incidentoch Správy o bezpečnostných incidentoch sú podávané väčšinou neformálne ústne (147 respondentov). Menej sa využíva neformálny písomný (40 respondentov) a formálny písomný spôsob (38 respondentov). 3.7 Zodpovednosť za riešenie incidentu Zodpovednosť za riešenie bezpečnostných incidentov nie je jasne definovaná v 33 inštitúciách, sú to najmä inštitúcie miest a obcí a bližšie neurčené inštitúcie. V 133 inštitúciách má zodpovednosť za riešenie incidentov osoba na oddelení IT, v 41 prípadoch je to riadiaci pracovník, v 81 radový zamestnanec a v 11 zamestnanec tohto oddelenia, ktorý sa venuje výhradne informačnej bezpečnosti. Funkcia špecializovaného pracovníka zodpovedného za informačnú bezpečnosť mimo IT odboru je zriadená v 7 inštitúciách, v 10 prípadoch je zodpovedný špecialista na nemanažérskej pozícii. Možnosť iný zamestnanec zvolilo 66 respondentov, za zodpovedných pracovníkov určili väčšinou prednostov a riaditeľov škôl (túto možnosť volili najmä respondenti v inštitúciách miest a obcí a školy). Zodpovednosť za riadenie incidentu 33 nie je určená 66 riadiaci pracovník IT 41 radový zamestnanec vyhradený pracovník v rámci IT vyhradený pracovník mimo IT špecialista na nemanažérskej pozícii 81 iný zamestnanec 3.8 Priebežné správy o riešení incidentov Priebežné správy o riešení incidentov sa podávajú pracovníkovi IT v 18 inštitúciách, vedúcemu IT v 46 inštitúciách, vedúcemu odboru kontroly v 5 inštitúciách, vedúcemu odboru financií/ekonomiky v 18 inštitúciách, vedúcemu odboru vnútorných/ centrálnych služieb v 15 inštitúciách, internému audítorovi v 10 inštitúciách, inému pracovníkovi v 136 inštitúciách (väčšinou prednosta/starosta, riaditeľ školy, a pod.)

21 21 Riadenie zmien IS Pri zásahoch do informačných systémov hrozí riziko narušenia dôvernosti, integrity a dostupnosti údajov, ktoré sa v zmenenej aplikácii už spracúvajú, ako aj riziko, že úroveň bezpečnosti systému v dôsledku zmeny nebude primeraná potrebám organizácie a citlivosti spracúvaných informácií. V ideálnom prípade je každá zmena pred uvedením do prevádzky testovaná v testovacom prostredí na odpersonalizovaných alebo testovacích údajoch, aby sa zabránilo chybnej implementácii. Formálne zdokumentovanie celého procesu zmeny informačných systémov zaisťuje možnosť spätnej rekonštrukcie, odhalenie chýb v tomto procese a vyvodenie zodpovedností. Závery analyzovaných odpovedí sú zhrnuté v týchto bodoch: Len asi v polovici projektov zmien IS sú definované bezpečnostné požiadavky, čo je vzhľadom možnú agendu inštitúcií verejnej správy nevyhovujúci stav. Najfrekventovanejšie požiadavky na projekty vychádzajú zo zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov, z výnosu Ministerstva dopravy, pôšt a telekomunikácií č. 1706/M-2006 o štandardoch pre informačné systémy verejnej správy a výnosu Ministerstva financií Slovenskej republiky č. MF/013261/ o štandardoch pre informačné systémy verejnej správy. Postupy a požiadavky na testovanie nie sú dostatočne rozvinuté. Proces testovania je ponechaný väčšinou na zodpovednosti dodávateľa zmien. Vo väčšine prípadov má externá strana, ktorá implementuje a testuje zmenu, prístup ku kompletným produkčným údajom alebo ich kópiám. Kontrola kvality dodanej zmeny nie je dostatočná, o čom svedčia najmä počty zaznamenaných chýb. 4.1 Analýza rizík a definovanie bezpečnostných požiadaviek v projektoch Bezpečnostné riziká pri zmene IS vôbec neanalyzuje 145 inštitúcií. Aspoň v jednom projekte analyzovalo bezpečnostné riziká 103 inštitúcií (72 inštitúcií len v jednom). Až 124 respondentov uviedlo, že v žiadnom projekte zmien informačných systémov za posledný rok neboli explicitne zadefinované bezpečnostné požiadavky. Tieto projekty sa riešili v inštitúciách, ktoré majú malé IT oddelenie, do 10 zamestnancov (dve pomerne veľké IT oddelenia jedno s 59 a jedno so 100 zamestnancami nemali definované požiadavky v žiadnom projekte). U 70 respondentov boli tieto požiadavky definované len v jednom projekte. Ide o projekty riešené v inštitúciách s 0 26 IT zamestnancami. 56 inštitúcií definovalo bezpečnostné požiadavky vo viac ako jednom projekte (2 10 projektov). Počet zamestnancov v týchto inštitúciách sa pohybuje od 0 do 200.

22 Zdroje pre bezpečnostné požiadavky Z ponúknutých možností označili ako zdroj požiadaviek pri riadení informačných rizík nasledujúce zdroje: ISO/IEC 17799/BS 7799: 25 respondentov ISO/IEC TR 13335: 16 respondentov COBIT: 2 respondenti ITIL: 7 respondentov výnos Ministerstva dopravy, pôšt a telekomunikácií č. 1706/M-2006 o štandardoch pre informačné systémy verejnej správy: 65 respondentov výnos Ministerstva financií Slovenskej republiky č. MF/013261/ o štandardoch pre informačné systémy verejnej správy: 79 respondentov zákon č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpi - sov: 190 respondentov marketingový prieskum: 3 respondenti externý poradca: 43 respondentov dodávateľ informačných systémov: 95 respondentov iný: 6 respondentov. Zdroje pre bezpečnostné požiadavky ISO/IEC 17799/BS 7799 ISO/IEC TR COBIT ITIL výnos č. 1706/M-2006 o štandardoch pre informačné systémy verejnej správy výnos č. MF/013261/ o štandardoch pre informačné systémy verejnej správy zákon č.428/2002 o ochrane osobných údajov v znení neskorších predpisov marketingový prieskum externý poradca dodávateľ IS iný zdroj Najväčší vplyv na formuláciu bezpečnostných požiadaviek majú jednoznačne zákon o ochrane osobných údajov, výnos o informačných systémoch verejnej správy a výnos o štandardoch informačných systémov verejnej správy. 4.4 Proces testovania zmien informačných systémov Až 177 inštitúcií nemá formálne definovaný proces testovania informačných systémov. Naopak 80 respondentov odpovedalo, že takýto proces majú definovaný.

23 23 Proces testovania zmien informačných systémov 129 inštitúcií ponecháva na zodpovednosti dodávateľa zmien. V 45 prípadoch vykonáva testovanie inštitúcia, buď vo vlastnom testovacom prostredí (34 odpovedí) alebo vo svojom produkčnom prostredí (11). Až 51 odpovedí naznačuje, že testovanie prebieha priebežne počas prevádzky. Pomerne veľká zodpovednosť za riadenie a naplnenie bezpečnostných požiadaviek a požiadaviek na funkcionalitu je ponechaná na dodávateľoch zmien informačných systémov. Pri neexistencii požiadaviek a štandardov dodávok systémov pre verej - nú správu sú plnenie štandardov a kvalita dodávaného vybavenia a služieb ťažko kontrolovateľné. Až v 44 inštitúciách sa na testovanie používajú priamo produkčné údaje a kópie dát v 113 inštitúciách. Len v 57 prípadoch respondenti uvádzali, že sa na testovanie využívajú špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie dáta. V súvislosti s výsledkom predchádzajúcej otázky môžeme konštatovať, že dodávatelia zmien IS majú vo väčšine prípadov prístup priamo k produkčným celistvým údajom alebo ich kópiám bezo zmeny. 4.5 Spôsob testovania zmien IT v závislosti od typu organizácie Testovanie zmien v informačných systémoch v inštitúciách ústrednej štátnej správy (11 inštitúcií) prebieha nasledovne: Tri inštitúcie ponechávajú testovanie na dodávateľa, tri vykonávajú testovanie vo vlastnom testovacom prostredí, v jednej inštitúcii prebieha testovanie priebežne počas prevádzky (v 2 inštitúciách je to iným spôsobom). Na testovanie sa používajú priamo produkčné údaje v 2 prípadoch, kópie produkčných údajov v 7 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 4 prípadoch. V inštitúciách miestnej štátnej správy (44 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 18 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 9 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 6 prípadoch testovanie prebieha priebežne počas prevádzky v 9 inštitúciách inak v 2 inštitúciách. Na testovanie sa používajú priamo produkčné údaje v 5 prípadoch, kópie produkčných údajov v 22 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 8 prípadoch.

24 24 V inštitúciách špecializovanej miestnej správy (29 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 22 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 1 prípade testovanie prebieha priebežne počas prevádzky v 3 inštitúciách inak v 1 prípade. Na testovanie sa používajú priamo produkčné údaje v 5 prípadoch, kópie produkčných údajov v 7 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 3 prípadoch. VÚC (11 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 4 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 1 prípade testovanie prebieha priebežne počas prevádzky v 5 inštitúciách inak v 1 prípade. Na testovanie sa používajú priamo produkčné údaje v 4 prípadoch, kópie produkčných údajov v 4 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 1 prípade. Mestá a obce (75 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 46 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 7 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 1 prípade testovanie prebieha priebežne počas prevádzky v 11 inštitúciách inak v 1 inštitúcii. Na testovanie sa používajú priamo produkčné údaje v 12 prípadoch, kópie produkčných údajov v 32 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 18 prípadoch. Iné inštitúcie (86 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 30 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 12 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 3 prípadoch testovanie prebieha priebežne počas prevádzky v 22 inštitúciách inak v 13 inštitúciách.

25 25 Na testovanie sa používajú priamo produkčné údaje v 16 prípadoch, kópie produkčných údajov v 41 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 23 prípadoch. Spôsob testovania podľa typu inštitúcie ústredná št. správa miestna št. správa Typ inštitúcie špecializ. št. správa VÚC mestá a obce nezaradené inštitúcie Počet inštitúcií testovanie vykonáva dodávateľ vo vlastnom testovacom prostredí v produkčnom prostredí testovanie priebežne počas prevádzky inak Spôsob testovania je značne nejednotný aj v priereze typov inštitúcií, hoci všetky typy inštitúcií testovanie prevažne ponechávajú na dodávateľovi alebo implementátorovi zmeny a prebieha priamo na produkčných údajoch alebo ich kópiách. 4.6 Spôsob testovania zmien IT v závislosti od veľkosti IT oddelenia Organizácie bez IT zamestnancov (45 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 15 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 2 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 1 prípade testovanie prebieha priebežne počas prevádzky v 16 inštitúciách inak v 10 inštitúciách.

26 26 Na testovanie sa používajú priamo produkčné údaje v 12 prípadoch, kópie produkčných údajov v 12 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 5 prípadoch. IT oddelenia s 1 zamestnancom (64 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 40 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 4 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 2 prípadoch testovanie prebieha priebežne počas prevádzky v 15 inštitúciách inak v 2 inštitúciách. Na testovanie sa používajú priamo produkčné údaje v 13 prípadoch, kópie produkčných údajov v 26 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 14 prípadoch. IT oddelenia s 2-10 zamestnancov (87 inštitúcií): testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 43 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 21 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 6 prípadoch testovanie prebieha priebežne počas prevádzky v 10 inštitúciách inak v 6 inštitúciách. Na testovanie sa používajú priamo produkčné údaje v 12 prípadoch, kópie produkčných údajov v 56 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 26 prípadoch. IT oddelenia s viac ako 10 zamestnancami (14 inštitúcií) testovanie vykonáva dodávateľ alebo implementátor vo svojom prostredí v 5 prípadoch testovanie vykonáva organizácia vo svojom testovacom prostredí v 5 prípadoch testovanie vykonáva organizácia v produkčnom prostredí v 1 prípade inak v 3 inštitúciách. Na testovanie sa používajú priamo produkčné údaje v 1 prípade, kópie produkčných údajov v 11 prípadoch a špeciálne vytvorené (sanitizované produkčné alebo syntetické) testovacie údaje v 8 prípadoch.

27 27 Spôsob testovania podľa veľkostí IT oddelenia 0 IT zam. Počet IT zamestnancov 1 IT zam IT zam. viac ako 10 IT zam Početnosť spôsobov testovania testovanie vykonáva dodávateľ vo vlastnom testovacom prostredí v produkčnom prostredí testovanie priebežne počas prevádzky inak S rastúcou veľkosťou IT oddelenia rastie aj počet inštitúcií, ktoré vykonávajú testy vo vlastnom prostredí. Inštitúcie, ktoré majú aspoň čiastočný dosah na proces testovania a vykonávajú ho vo vlastnej réžii, dokážu zaistiť väčšiu kvalitu a naplnenie vlastných požiadaviek a odhaliť viac chýb v implementovanej zmene informač - ného systému. 4.7 Počet chýb zistených pred uvedením do prevádzky Až 92 respondentov uviedlo, že počas testovacej fázy neboli zistené žiadne chyby v zmene informačných systémov, čo je nepravdepodobné aj vzhľadom na priebeh testovania zmien. 6 respondentov uviedlo, že v ich inštitúcii sa počet chýb neeviduje. 49 respondentov uviedlo, že po uvedení zmeny do prevádzky zaznamenali určitý počet chýb (1 1500, spolu celkovo 3415). V týchto inštitúciách je testovanie ponechané na dodávateľovi v 19 prípadoch a v 13 prípadoch ho vykonáva inštitúcia vo vlastnej réžii, pričom testovanie prebieha na produkčných údajoch v 10, na kópiách produkčných údajov v 30 a testovacích údajoch v 21 prípadoch. 4.8 Počet chýb zistených po uvedení do prevádzky V 99 inštitúciách zaznamenali po uvedení zmeny do prevádzky chýb (priemerne 25,4 chyby). Sedem inštitúcií vôbec neeviduje počet chýb. 144 respondentov uviedlo, že nezaznamenali žiadnu chybu po uvedení zmeny do produkčného prostredia. Podobne ako v predchádzajúcej otázke je žiadna zaznamená chyba málo pravdepodobný jav. Svedčí buď o nesprávne definovaných postupoch nasadzovania zmien (bez alebo s nedostatočným testovaním) alebo nerozvinutej metodike zaznamenávania.

28 28 Vzdelávanie Vzdelávanie je aktivita, ktorá má zabezpečiť, aby sa účastníci informačného sveta správali bezpečne. Poučenie o pravidlách používania informačných systémov naučí používateľov bezpečnému správaniu, ktoré pôsobí ako prevencia pred vznikom incidentu a správnym postupom v prípade incidentu, t.j. jeho rozpoznanie a reakcia naň. Efektívne vzdelávanie zamestnancov by malo byť adresné, to znamená, že musí zohľadňovať prostredie, v akom zamestnanec pracuje, a jeho schopnosti. Napriek očakávaniam sa po zavedení efektívnejších tréningových metód počet zaznamenaných incidentov neznižuje, ale naopak zvyšuje. To súvisí práve so zvý še - ním prahu rozoznateľnosti a reakcie na incident, čo je rozhodne pozitívny a žiaduci jav. Závery tejto časti možno zhrnúť veľmi stručne: Vzhľadom na citlivú agendu verejných inštitúcií je primerané vzdelávanie pracovníkov verejnej správy v oblasti informačnej bezpečnosti významnou slabinou. 5.1 Školenie zamestnancov o bezpečnostných pravidlách Školenie o pravidlách bezpečného používania informačných systémov sa vykonáva vo väčšine zúčastnených organizácií. Nový zamestnanec absolvuje takéto školenie ihneď po nástupe do zamestnania v 131 inštitúciách. Odpovede naznačujú, že v 95 inštitúciách sa vykonávajú priebežné školenia podľa potreby. V 19 inštitúciách sa školenie vôbec nevykonáva (17 odpovedí) alebo nie sú určené pravidlá bezpečného používania informačných systémov (2). Predpokladáme, že poučenie o pravidlách bezpečného používania informačných systémov je spojené so všeobecným IT školením. Pomer jednotlivých obsahov nie je možné odhadnúť. Výsledky tejto otázky tiež nenaznačujú, či sa priebežné školenia (podľa potreby) niekedy aj uskutočnia. Najvyužívanejšou formou poučenia o pravidlách bezpečného používania informačných systémov je školenie, využíva sa v 149 inštitúciách. Ďalej je to samoštúdium (82 odpovedí) a ústne poučenie. E-learningové školenia sú zatiaľ málo rozšírené, využíva ich len 7 inštitúcií školenie samoštúdium 149 e-learning

29 29 Forma školenia o bezpečnostných pravidlách Obsah školenia pripravuje a vykonáva oddelenie IT v 56 inštitúciách. Na externého dodávateľa sa spolieha 42 inštitúcií. Iné interné zdroje a oddelenia pripravujú školenia v 43 inštitúciách, konkrétne u 21 inštitúcií je to oddelenie ľudských zdrojov. Ďalšie zodpovedné oddelenia sú právne a ekonomické. Žiadna inštitúcia nemá špeciálne tréningové oddelenie, ktoré by vykonalo aj toto školenie IT oddelenie externý dodávateľ odd. ľudských zdrojov iné interné oddelenie 42

30 30 Súlad s legislatívou Zaisťovanie súladu s legislatívnymi požiadavkami chráni inštitúcie pred postihmi vyplývajúcimi zo zákona a tiež stratou dôveryhodnosti partnerov inštitúcie, čo sú v prípade štátnej inštitúcie jednak občania SR, ďalej partnerské tretie strany, ale i medzinárodné inštitúcie. Vo vzťahu k nosným legislatívnym rámcom, ktoré sa týkajú informačnej bezpečnosti a verejnej správy, možno konštatovať nasledovné závery: Viaceré výsledky prieskumu indikujú, že všeobecná znalosť o existencii legislatívy na ochranu osobných údajov je uspokojivá a organizácie prevažne aktívne pristupujú k realizácii povinností vyplývajúcich z tejto legislatívy. Nízka miera využívania Výnosu MFSR o štandardoch ISVS zistená prieskumom ako aj nízka miera auditov informačnej bezpečnosti u respondentov naznačujú, že súlad s legislatívou v oblasti informačných systémov verejnej správy významne zaostáva za oblasťou ochrany osobných údajov. Malý počet auditov informačnej bezpečnosti indikuje, že znalosť organizácií o skutočnom vlastnom stave informačnej bezpečnosti ako aj miere napĺňania legislatívnych požiadaviek je pravdepodobne nízka. 6.1 Ochrana osobných údajov Len 36 inštitúcií nemá vypracovaný bezpečnostný projekt v zmysle požiadaviek zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov. Zvyš ných 218 inštitúcií má aspoň jeden projekt vypracovaný (197 inštitúcií, zvyš - ných 21 má 2 62 projektov). Najstaršie smernice o ochrane osobných údajov v zúčastnených inštitúciách pochádzajú z roku V roku 2008 došlo k aktualizácii 95 smerníc týkajúcich sa verej - nej správy, v roku 2007 to bolo 49 smerníc, v roku 2006 bolo aktualizovaných 24 smerníc. 22 smerníc vo verejnej správe je starších ako posledná novela zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov. Stav aktuálnosti smerníc na ochranu osobných údajov v inštitúciách verejnej správy je celkovo uspokojivý, povedomie povinnosti tejto smernice je na vysokej úrovni. Z výsledkov možno usudzovať, že procesy, ktoré viedli k rozšíreniu tohto povedomia, sú efektívne a môžu sa aplikovať aj pri ďalších požiadavkách v oblasti informačnej bezpečnosti.

31 31 Aktualizácie smerníc o ochrane osobných údajov a staršie 6.2 Audit informačných systémov Takmer v polovici zúčastnených inštitúcií (118) nebol dosiaľ vykonaný audit informačných systémov. V rokoch bolo vykonaných 25 auditov. Za posledné dva roky bolo vykonaných 113 auditov informačných systémov vo verejnej správe (pred polrokom 47, pred rokom 50, pred dvoma rokmi 15). V 137 inštitúciách nebol vykonaný žiaden audit informačných systémov za posledné dva roky. Jeden alebo dva audity boli vykonané v 112 inštitúciách, viac ako 2 len v siedmich. Externý audítor alebo iná externá strana vykonali 71 auditov informačných systémov vo verejnej správe. Audit vo vlastnej réžii zamestnancami zodpovednými za riadenie informačnej bezpečnosti bol vykonaný v 51 prípadoch, oddelením kontroly, revízie alebo auditu v 7 prípadoch, inými internými zamestnancami v 8 prípadoch. Až 176 odpovedí naznačuje, že vrcholové vedenie inštitúcie nikdy neriešilo nesúlady zistené pri vykonaní auditu informačných systémov. V 82 inštitúciách už bolo vedenie postavené pred tému nesúladu, z toho pred menej ako polrokom v 13 inštitúciách, pred pol 1 rokom v 29 inštitúciách, pred 1-2 rokmi v 19 inštitúciách, pred viac ako 2 rokmi v 21 inštitúciách. Okrem možnosti, že pri vykonaných auditoch nebol zistený žiaden nesúlad, môže výsledok tejto otázky znamenať aj malú podporu procesov riadenia informačnej bezpečnosti alebo malú zodpovednosť, ktorú na seba berie vedenie inštitúcie za tieto procesy. Vzhľadom na skutočnosť, že Výnos MFSR č. č. MF/013261/ o štandardoch pre informačné systémy stanovuje povinnosť vykonávať vnútornú kontrolu alebo audit informačnej bezpečnosti podľa periodicity danej bezpečnostnou politikou, je počet vykonaných auditov v značnom rozpore s počtom organizácií deklarujúcich, že prevádzkujú informačný systém verejnej správy. Z toho možno usudzovať, že organizácie primerane nereflektujú na požiadavku na výkon auditu.

32 kpmg.sk KPMG je globálna sieť firiem poskytujúcich profesionálne služby v oblasti auditu, daní a poradenstva. Pôsobíme v 144 krajinách a naše členské firmy na celom svete zamestnávajú vyše ľudí. S cieľom pomôcť klientom úspešne reagovať na meniace sa príležitosti členovia siete KPMG poskytujú odborné služby, kedykoľvek a kdekoľvek je to potrebné. KPMG je na Slovensku aktívne od roku 1991 a neustále rastie. Služby ponúka prostredníctvom dvoch právnických osôb. KPMG Slovensko spol. s r.o. zabezpečuje služby auditu, služby finančného poradenstva a služby v oblasti riadenia rizík a KPMG Slovensko Advisory k.s. zabezpečuje služby daňového poradenstva. Pri práci využívame špičkové technológie, čo je prínosom pre našich klientov i zamestnancov. KPMG je už tradične vedúcou audítorskou spoločnosťou na Slovensku*. Našimi klientmi sú popredné domáce i medzinárodné spoločnosti. Dnes KPMG na Slovensku zamestnáva viac ako 300 zamestnancov, ktorí poskytujú komplexné odborné služby slovenským i nadnárodným organizáciám, štátnym inštitúciám i zahraničným investorom. V našom tíme pracujú odborníci zo Slovenska, ale aj Belgicka, Holandska, Írska, Juhoafrickej republiky, Kanady, Kórey, Nemecka, Veľkej Británie a USA. Naši klienti majú k dispozícii našu dôvernú znalosť miestneho podnikateľského prostredia a zároveň silné zázemie renomovanej globálnej siete. Chceme prispievať k posilneniu dôvery a porozumenia medzi podnikmi, investormi, vládou a verejnosťou. A našim partnerom a zamestnancom chceme poskytovať výnimočné kariérne príležitosti. *podľa ročenky Trend Top (2003, 2004, 2005, 2006 a 2007) je KPMG Slovensko spol. s r.o. najväčšia audítorská firma na Slovensku KPMG Slovensko spol. s r. o. Mostová Bratislava Tel.: +421 (0) Fax: +421 (0) skmarketing@kpmg.sk Ministerstvo financií SR Štefanovičova 5 P. O. BOX Bratislava Tel.: +421 (0) Fax: +421 (0) Pavol Adamec CISA, CISM, CISSP, CGEIT Director Tel.: +421 (0) (0) Fax: +421 (0) padamec@kpmg.sk Ing. Pavel Bojňanský generálny riaditeľ sekcie Tel.: +421 (0) pavel.bojnansky@mfsr.sk Informácie tu uvedené majú všeobecný charakter a nevzťahujú sa na okolnosti žiadnej konkrétnej fyzickej alebo právnickej osoby. Hoci našou snahou je poskytnúť presné a aktuálne informácie, ich aktuálnosť nemôžeme zaručiť aj v budúcnosti. Neodporúčame konať na základe týchto informácii bez príslušnej profesionálnej rady a dôkladnej analýzy konkrétnej situácie KPMG Slovensko spol. s r.o. a Slovak limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative. All rights reserved. Printed in Slovakia. Október 2009