Krajowe Ramy Interoperacyjności(KRI) – co konkretnie musi robić dyrektor szkoły w związku z rozporządzeniem

Krajowe Ramy Interoperacyjności nie są tematem wyłącznie „dla informatyka”. Rozporządzenie z 21 maja 2024 r. dotyczy podmiotów realizujących zadania publiczne, a więc także szkół, i obejmuje nie tylko kwestie techniczne, ale również organizację bezpieczeństwa informacji, procedury, analizę ryzyka i sposób korzystania z systemów teleinformatycznych. Rozporządzenie określa KRI oraz minimalne wymagania dla rejestrów publicznych, wymiany informacji elektronicznej i systemów teleinformatycznych.

Z punktu widzenia dyrektora najważniejsze jest to, że szkoła ma działać w sposób uporządkowany i bezpieczny. KRI wymagają, aby podmiot realizujący zadania publiczne dobierał środki, metody i standardy służące ustanowieniu, wdrożeniu, eksploatacji, monitorowaniu, przeglądowi, utrzymaniu i udoskonalaniu systemów teleinformatycznych oraz procedur organizacyjnych.

Zadania dyrektora

Tak najprościej, co konkretnie musi robić dyrektor w związku z rozporządzeniem o KRI:

  1. Zapewnić w szkole system zarządzania bezpieczeństwem informacji – nie tylko „na papierze”, ale jako realny sposób działania placówki. Rozporządzenie wymaga opracowania, ustanowienia, wdrożenia, monitorowania, przeglądania, utrzymywania i doskonalenia takiego systemu.
  2. Uporządkować i aktualizować wewnętrzne regulacje dotyczące bezpieczeństwa informacji oraz systemów teleinformatycznych. To oznacza, że szkoła powinna mieć aktualne zasady, procedury i podział odpowiedzialności, a nie stare dokumenty odłożone do segregatora.
  3. Zrobić i okresowo powtarzać analizę ryzyka dla informacji i systemów używanych w szkole. Nie jednorazowo, tylko regularnie i przy zmianach, tak aby wiedzieć, gdzie są realne zagrożenia.
  4. Dopilnować inwentaryzacji sprzętu, oprogramowania i zasobów informacyjnych używanych do realizacji zadań publicznych. Szkoła musi wiedzieć, z czego korzysta i co faktycznie trzeba chronić.
  5. Uregulować zasady nadawania, zmiany i odbierania uprawnień do systemów. Dyrektor ma dopilnować, by dostępy nie były przypadkowe, wspólne ani pozostawiane po odejściu pracownika.
  6. Zadbać o szkolenia pracowników w zakresie bezpieczeństwa informacji. Rozporządzenie wprost wymaga szkoleń osób zaangażowanych w przetwarzanie informacji.
  7. Zapewnić ochronę informacji przed utratą, błędami, nieuprawnioną modyfikacją i nieuprawnionym ujawnieniem. W praktyce oznacza to dopilnowanie, by szkoła miała sensowne zabezpieczenia organizacyjne i techniczne, a nie tylko hasło do komputera.
  8. Dopilnować kopii zapasowych i ograniczania skutków awarii. Rozporządzenie mówi o minimalizowaniu ryzyka utraty informacji w wyniku awarii, więc dyrektor powinien wiedzieć, czy backupy są robione, gdzie są przechowywane i czy da się z nich odtworzyć dane.
  9. Ustalić sposób zgłaszania incydentów bezpieczeństwa informacji i wymagać, by były zgłaszane bezzwłocznie. Szkoła powinna mieć z góry ustalony sposób reakcji, a nie improwizować po fakcie.
  10. Zapewnić coroczny audyt wewnętrzny bezpieczeństwa informacji. Rozporządzenie wprost wymaga okresowego audytu wewnętrznego nie rzadziej niż raz na rok.
  11. Dopilnować rozliczalności działań w systemach, czyli tego, aby ważne operacje były dokumentowane w logach. Obowiązkowo logowane mają być m.in. działania z uprawnieniami administracyjnymi, zmiany konfiguracji i dostęp do danych prawnie chronionych w wymaganym zakresie.
  12. Zapewnić przechowywanie logów przez wymagany czas. Jeśli przepisy szczególne nie stanowią inaczej, logi przechowuje się przez dwa lata.
  13. Dopilnować zgodności systemów z przyjętymi normami i politykami bezpieczeństwa. Rozporządzenie wskazuje, że wymagania uznaje się za spełnione, jeśli system zarządzania bezpieczeństwem informacji opracowano na podstawie PN-ISO/IEC 27001, a zabezpieczenia, ryzyko i audyt odnoszą się do norm powiązanych, w tym PN-ISO/IEC 27002 i 27005. To nie znaczy, że szkoła musi kupować certyfikat ISO, ale powinna organizować bezpieczeństwo według tego typu standardu.
  14. W przypadkach wynikających z analizy ryzyka wprowadzić dodatkowe zabezpieczenia, a nie poprzestawać na minimum. Rozporządzenie mówi wprost, że jeśli analiza ryzyka tego wymaga, trzeba ustanowić dodatkowe środki ochrony.
  15. Pilnować, żeby szkoła używała systemów teleinformatycznych zgodnych z minimalnymi wymaganiami określonymi w rozporządzeniu. Dla dyrektora oznacza to praktycznie nadzór nad tym, by np. e-dziennik, poczta, systemy administracyjne czy strona szkoły były utrzymywane bezpiecznie i w sposób kontrolowany, nawet jeśli technicznie robi to informatyk albo firma zewnętrzna. Samo rozporządzenie rozróżnia bowiem KRI, wymagania dla rejestrów publicznych i osobno minimalne wymagania dla systemów teleinformatycznych.

To właśnie rozporządzenie wskazuje m.in. na potrzebę okresowej analizy ryzyka, aktualizacji regulacji wewnętrznych, inwentaryzacji sprzętu i oprogramowania, szkolenia osób zaangażowanych w przetwarzanie informacji, ustalenia zasad bezpiecznej pracy mobilnej i zdalnej, bezzwłocznego zgłaszania incydentów oraz corocznego audytu wewnętrznego bezpieczeństwa informacji.

Pomagamy opracowywać system zarządzania bezpieczeństwem informacji dla szkół
kontakt z nami

Co to oznacza w praktyce?

Dla dyrektora nie oznacza to obowiązku samodzielnego konfigurowania serwera, strony internetowej czy sieci. Oznacza natomiast obowiązek zorganizowania szkoły w taki sposób, aby bezpieczeństwo informacji było realnie zarządzane. Dyrektor ma wiedzieć, kto odpowiada za systemy, kto ma dostęp, jak wygląda obieg decyzji, kto robi backupy, kto reaguje na incydenty i czy przyjęte zasady naprawdę działają.

więcej o KRI pisaliśmy tutaj: Krajowe Ramy Interoperacyjności w szkole – jakie wymagania musi spełnić placówka oświatowa?

Źródła

Udostępnij artykuł: