W Urzędzie nie zapewniono aktualności inwentaryzacji całego zasobu informatycznego, tj. w zakresie wszystkich zainstalowanych aplikacji, co było niezgodnie z § 20 ust. 2 pkt 2 KRI, który stanowi, że zarządzanie bezpieczeństwem informacji realizowane jest w szczególności poprzez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie m.in. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, obejmującej ich rodzaj i konfigurację. Także zgodnie z normą PN-ISO/IEC 27002:2014-12, pkt 8.1.1, wszystkie aktywa powinny być zidentyfikowane oraz powinien być sporządzany i aktualizowany spis wszystkich aktywów informatycznych.
W ocenie NIK brak inwentaryzacji wszystkich zainstalowanych aplikacji może prowadzić do braku ich aktualizacji, możliwości wychwycenia incydentów oraz reakcji w przypadku ich wystąpienia (np. nielegalne lub podatne na atak oprogramowanie). Brak skutecznie wdrożonego procesu zarządzania podatnościami i poprawkami naraża Urząd na konsekwencje związane z wykorzystaniem przez atakujących i złośliwe oprogramowanie istniejących w systemach podatności, co może w dalszej konsekwencji prowadzić do incydentów bezpieczeństwa.
Ponadto posiadane przez Urząd zestawienie „wartości niematerialne i prawne – programy komputerowe i licencje urzędu gminy Stare Czarnowo” należy uznać za element ewidencji księgowej. Inwentaryzacja prowadzona na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości nie jest tożsama z inwentaryzacją wskazaną w KRI, która rozumiana jest jako stałe posiadanie aktualnych informacji w zakresie nie tylko posiadanego sprzętu informatycznego i oprogramowania, ale również jego konfiguracji.
Źródło: https://www.nik.gov.pl/kontrole/I/23/001/LSZ/ (Urząd Gminy w Starym Czarnowie)
ROZPORZĄDZENIE
RADY MINISTRÓW
z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
§ 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
(….)
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
