E-administracja w perspektywie kontroli - EUROSAI IT Working Group

More documents

Recommendations

Info

NaleŜy opracować ustalenia dotyczące zapewnienia, Ŝe informacje oraz usługi są dostępne w odpowiednim czasie, w kaŜdym momencie, kiedy są potrzebne uŜytkownikowi. Potrzeba terminowego oraz prawidłowego przetwarzania danych jest nadzwyczaj wielka, jeśli chodzi o usługi e-administracji. NaleŜy poczynić największe moŜliwe wysiłki celem uniknięcia utraty danych oraz utrudnienia działania sprzętu lub oprogramowania spowodowanego przez awarie techniczne. W ramach szerszej „Polityki bezpieczeństwa” wymagane są solidne plany tworzenia kopii zapasowych oraz odzyskiwania utraconych plików. - WiąŜący charakter transakcji elektronicznych oraz potwierdzenie przyjęcia wiadomości NaleŜy poczynić ustalenia w celu zapewnienia, Ŝe wysyłanie oraz odbiór danych i informacji nie mogą zostać zakwestionowane (tj. umoŜliwić wydanie potwierdzenia, Ŝe wiąŜąca prawnie transakcja została zawarta). - MoŜliwość poddania się kontroli Organy, które prowadzą usługi e-administracji mają obowiązek poczynić techniczne oraz organizacyjne ustalenia pozwalające na późniejszą weryfikację transakcji elektronicznych, co pozwala kierownikom lub kontrolerom dowiedzieć się, kto wprowadził lub przekazał jakie dane oraz w jakim czasie. Poczynione ustalenia muszą być równieŜ odpowiednie, aby moŜna było wykryć i prowadzić dochodzenie w sprawie jakichkolwiek niedopuszczalnych prób dostępu do danych lub ingerencji w nie. Do przykładów ryzyk oraz potencjalnych szkód spowodowanych przez niezgodność z tymi wymogami naleŜą: • wprowadzenie do sieci IT złośliwego oprogramowania (tj. wirusów, koni trojańskich, bomb logicznych lub robaków); • ingerencja w/uszkodzenie/zniszczenie systemów operacyjnych lub oprogramowania aplikacji (łącznie z uszkodzonymi rekordami); • niedostateczna ochrona dostępu do zdalnej konserwacji; • ingerencja spowodowana "wewnętrznymi sprawcami" (np. administratorami lub uŜytkownikami); • uszkodzone lub ryzykowne oprogramowanie; • ingerencja w łącza komunikacyjne; • niedostateczna świadomość bezpieczeństwa; • niedostatecznie wykwalifikowany personel. Szkoda spowodowana tymi czynnikami moŜe zostać zaklasyfikowana do tych róŜnych kategorii: • materialna; • finansowa (przestój to (takŜe) pieniądze); • niematerialna (moŜe być bardziej dotkliwa niŜ szkoda finansowa) oraz szkoda związana z personelem. Logowanie zapobiega dostępowi osób nieupowaŜnionych oraz ingerencji, poniewaŜ nikt nie moŜe mieć pewności, Ŝe wykroczenia przejdą niezauwaŜone. 28
ŚcieŜki audytu 17 mogą zapewnić, Ŝe nie miała miejsca ingerencja w dane. Poświęcenie tej kwestii szczególnej uwagi jest istotne, poniewaŜ w stopniu, w jakim program e-administracji prowadzi do zaprzestania stosowania formularzy papierowych, tradycyjne ścieŜki audytu, równieŜ mają tendencję do zanikania. Z tej przyczyny organizacja powinna utworzyć nowe ścieŜki audytu w zautomatyzowanych systemach informacyjnych w celu zapewnienia, Ŝe transakcje zawsze mogą być kontrolowane. Nieistniejące lub niedostateczne ścieŜki audytu wprowadzają ryzyko, Ŝe nieautoryzowane zmiany danych mogą przejść niezauwaŜone. 3.3.2 Bezpieczeństwo transakcji W celu zapobiegania niedostatecznemu bezpieczeństwu transakcji w odniesieniu do komunikacji z klientem oraz – zwłaszcza - usług transakcji (urząd-obywatel; urządprzedsiębiorca; urząd-urząd), administracja powinna przestrzegać wymogów rozporządzenia dotyczącego podpisu cyfrowego (Digital Signature Ordinance). Ponadto, naleŜy starać się zapewnić interoperacyjność pomiędzy krajowymi oraz międzynarodowymi rozwiązaniami dotyczącymi podpisu cyfrowego. Aby urzędy publiczne mogły się komunikować bezpiecznie przez internet i aby komunikacja ta była prawnie wiąŜąca, muszą one posiadać równieŜ „wirtualnego zarządcę poczty”, który pełniłby rolę zautomatyzowanej w duŜym stopniu centralnej bramki bezpieczeństwa i wykonywałby funkcję uwierzytelniania, weryfikowania oraz generowania podpisów cyfrowych, deszyfracji oraz szyfracji, jak równieŜ przeprowadzałby inne kontrole bezpieczeństwa. Wysokiej jakości usługi mogą wymagać ścisłego uwierzytelniania przez klienta i w przypadku niektórych typów komunikacji, które dla swojej waŜności wymagają formy pisemnej, autentyczność musi być uznana, co z kolei wymaga waŜnego podpisu cyfrowego. 3.3.3. Transakcje dotyczące płatności W przyszłości regulowanie opłat, naleŜności celnych oraz podatków w wysokości dziesiątek miliardów euro kaŜdego roku będzie przepływać przez systemy IT organów podatkowych oraz celnych. Niewystarczające wymogi dotyczące bezpieczeństwa mogą stanowić zagroŜenie dla elektronicznego pobierania tych opłat w jeszcze większym stopniu niŜ standardy niespełnione przez inne systemy świadczące usługi e-administracji. Za pomocą platformy przekazywania funduszy organ zainteresowany mógłby i powinien świadczyć usługę elektroniczną dotyczącą pobierania takich opłat, podatków oraz ceł, gwarantując, Ŝe naleŜne kwoty będą w rzeczywistości otrzymane i Ŝe dowody otrzymania zostaną w odpowiedni sposób przekazane odpowiedniej jednostce zarządzania gotówką odpowiedzialnej za księgowanie lub, jeŜeli nie powiedzie się transfer elektroniczny, takie niepowodzenie będzie natychmiast zgłoszone. 17 ŚcieŜka audytu jest to chronologiczny zestaw zapisów, które razem stanowią dokumentację przetwarzania, wystarczającą do tego, aby umoŜliwić rekonstrukcję, przegląd oraz zbadanie działalności (źródło: „Kontrola systemów informacyjnych; Glosariusz terminów, Komitet INTOSAI ds. IT). 29
Page 1: E-administracja w perspektywie kont
Page 5: Przedmowa Podczas swojego pierwszeg
Page 8 and 9: To wszystko wymaga od NajwyŜszych
Page 10 and 11: Nie uwaŜamy za rozsądne ogranicza
Page 12 and 13: Sekcja ta zawiera kilka wyjaśniaj
Page 14 and 15: • dostęp do większej ilości wy
Page 16 and 17: zostać przeprowadzone radykalne zm
Page 18 and 19: duŜymi publicznymi projektami IT,
Page 20 and 21: 2.7. Uwagi końcowe Wiele agencji,
Page 22 and 23: wprowadzania oraz ryzyk wiąŜącyc
Page 24 and 25: Niedokładne oceny mogą zagrozić
Page 26 and 27: zarządzania zawartością, serwer
Page 30 and 31: 3.3.4 Zbędność, przerwy w funkcj
Page 32 and 33: o przydział środków w budŜetach
Page 34 and 35: Kontrole e-administracji mogą się
Page 36 and 37: 4.3 Metody kontroli 4.3.1 Stosowaln
Page 38 and 39: Obiekty kontroli Program Projekt (I
Page 40 and 41: Rysunek 5 ukazuje jak róŜne typy
Page 42 and 43: • specyfikacja lub zmiana celów
Page 44 and 45: Domena CobiT Nabywanie WdraŜanie D
Page 46 and 47: Doświadczenie Rosji w tworzeniu e-
Page 48 and 49: Dokumenty cyfrowe nie tylko zawiera
Page 50 and 51: 5.3.2 Kontrola systemowa i material
Page 52 and 53: uŜytkownika oraz zapobiegawczych,
Page 54 and 55: Kiedy Mechanizm 1 zapewnił, Ŝe da
Page 56 and 57: Podstawę tych inicjatyw stanowi pr
Page 58 and 59: 6.5 Zasoby Proces przejścia pocią
Page 60 and 61: Certyfikat zawiera zazwyczaj toŜsa
Page 62 and 63: Niezawodność - w systemach inform

E-administracja w perspektywie kontroli - EUROSAI IT Working Group

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?