Kontrola dostępu do zasobów informacyjnych

We wszystkich organizacjach, oprócz jednej (na poziomie gminnym), stosowane jest logowanie się do komputerów. Logowanie do zasobów sieciowych praktykuje się w 82% instytucji, w tym we wszystkich z przebadanych jednostek administracji rządowej. Użycie systemu monitoringu i kontroli haseł deklaruje nieco ponad połowa (51%) instytucji, ale jedna z instytucji administracji rządowej nie wdrożyła takiego systemu. Niemal wszystkie instytucje, które wprowadziły system kontroli haseł, stosują logowanie do zasobów sieciowych i komputerów.

Rzadziej stosuje się karty elektroniczne lub tokeny, które są wykorzystywane głównie w ramach administracji rządowej (60% przebadanych jednostek administracji rządowej). Zabezpieczenia biometryczne stosowane są bardzo rzadko, jedynie w 5% badanych instytucji, co ciekawe wyłącznie w administracji samorządowej (na wszystkich jej szczeblach). Wszystkie instytucje stosujące zabezpieczenia biometryczne wykorzystują również karty elektroniczne/tokeny.

Stosowanie środków kontroli dostępu jest wyraźnie powiązane z użyciem zabezpieczeń technicznych i środków ochrony kryptograficznej.

Dostęp do zasobów informacyjnych częściej kontrolowany jest w instytucjach administracji rządowej oraz w tych, w których istnieje wydzielona jednostka do spraw bezpieczeństwa teleinformatycznego. W tych ostatnich zawsze stosowane jest logowanie się do komputerów, w prawie wszystkich (91%) do zasobów sieciowych. Wyraźnie częściej występują też wśród tego typu instytucji te, które wykorzystują systemy monitoringu i kontroli haseł, a także inne zabezpieczenia.

Bezpieczeństwo sieci bezprzewodowej

Aż w 61% badanych instytucji nie ma sieci bezprzewodowej (wyraźnie częściej nie jest ona dostępna w jednostkach administracji samorządowej). Wśród tych, w których jest ona wykorzystywana, 23% badanych zadeklarowało, że jest ona zdecydowanie zabezpieczona przed nieuprawnionym dostępem, a 65%, że raczej jest zabezpieczona (odpowiednio 9 i 25% wszystkich badanych jednostek). Należy jednak podkreślić, że są to czysto deklaratywne odpowiedzi, obrazujące przekonania respondentów, a niekoniecznie faktyczną jakość zabezpieczeń. W ramach administracji rządowej wskazane zostały tylko odpowiedzi "raczej tak" (oraz że nie ma sieci bezprzewodowej).

W instytucjach, w których jest wydzielona jednostka organizacyjna zajmująca się bezpieczeństwem informacji, nie tylko częściej jest sieć bezprzewodowa, ale dodatkowo respondenci z tych instytucji deklarują, że jest ona dobrze zabezpieczona (wyłącznie odpowiedzi "zdecydowanie tak" i "raczej tak"). Natomiast respondenci z instytucji, gdzie brak takiej jednostki, częściej uważają, że sieć bezprzewodowa może nie być dobrze zabezpieczona (6% takich instytucji).

Bezpieczeństwo systemu obsługi interesantów

Tylko niecałe 40% badanych instytucji posiadało system obsługi interesantów przez Internet. Trzeba jednak zaznaczyć, że respondenci zapewne w bardzo zróżnicowany sposób rozumieli pojęcie systemu obsługi przez Internet. Wydaje się bowiem mało realne, aby w 38% gmin istniała możliwość załatwienia spraw przez sieć (np. złożenia wniosku). Sytuacja ta będzie jednak coraz szybciej ulegać zmianie, ze względu na obowiązujące przepisy o ochronie danych osobowych, dlatego też poziom zabezpieczeń stosowanych w systemach obsługi interesantów staje się coraz ważniejszym zagadnieniem.

Wśród tych instytucji, które zadeklarowały posiadanie systemu obsługi interesantów, najczęściej występującym zabezpieczeniem jest SSL/TSL (61%), nieco rzadziej stosowane są walidacje formularzy (54%) oraz ochrona przed spamem i robotami (53%). Zdecydowanie rzadziej, w co czwartej instytucji posiadającej system obsługi interesantów przez Internet, występują natomiast systemy z kontrolą prywatności. 40% instytucji deklaruje stosowanie innych metod zabezpieczania systemu obsługi interesantów. Poniższy wykres przedstawia stosowanie zabezpieczeń we wszystkich badanych instytucjach (a nie tylko w tych, które mają system obsługi interesantów).

Stosowanie poszczególnych rozwiązań nie jest zbyt mocno ze sobą powiązane, ale istnieje wyraźny związek pomiędzy ilością wykorzystywanych zabezpieczeń a korzystaniem z opisanych wcześniej technicznych środków przeciwdziałania i wykrywania zagrożeń.

W przypadku zabezpieczeń systemu obsługi interesantów przez Internet związek pomiędzy istnieniem wydzielonej jednostki do spraw bezpieczeństwa teleinformatycznego a stosowanymi metodami nie jest już taki prosty. W przypadku dwóch metod, SSL/TSL i kontroli prywatności, porównanie wypada wręcz na niekorzyść instytucji posiadających wydzieloną jednostkę (aczkolwiek różnica ta jest niewielka), a odsetek instytucji stosujących walidację wypełniania formularzy jest w obu grupach bardzo zbliżony. Zdecydowanie częściej stosowana jest jednak ochrona przed spamem i robotami oraz inne metody zabezpieczeń.

Organizacja

Oprócz środków technicznych, które są stosowane w jednostkach administracji publicznej, dla zapewnienia bezpieczeństwa informacji istotne są również inne czynniki, takie jak organizacja, podział kompetencji i jasno sformułowany zakres obowiązków pracowników, a także posiadane przez nich kompetencje. Znaczenie tych czynników jest znaczące i jak pokazały to powyższe analizy organizacja, a w szczególności wydzielenie osobnej jednostki odpowiedzialnej za bezpieczeństwo teleinformatyczne, ma wpływ na poziom stosowanych zabezpieczeń technicznych. Istnienie niektórych stanowisk narzucają wymogi ustawy o ochronie informacji niejawnej (pełnomocnik ds.ochrony informacji niejawnej, inspektor bezpieczeństwa teleinformatycznego) lub ustawy o ochronie danych osobowych (administrator bezpieczeństwa informacji).

W prawie połowie (47%) instytucji wyznaczono jedną osobę bezpośrednio odpowiedzialną za bezpieczeństwo informacji w sieciach teleinformatycznych. W pozostałych instytucjach, w tym we wszystkich badanych jednostkach administracji rządowej, odpowiedzialność spoczywała na osobach pełniących różne funkcje (czasem są to różne osoby, a czasem także jest to jedna osoba pełniąca różne funkcje). W ramach administracji samorządowej w czterech przypadkach nie wskazano żadnej osoby, na której spoczywałaby odpowiedzialność, ale zwykle były to jedna, dwie osoby.

Zdecydowanie najczęściej wskazywaną osobą był administrator systemu teleinformatycznego (58%), wysoko uplasował się również szef działu informatyki (28%), co świadczy o tym, że bezpieczeństwu nie przypisano szczególnej rangi. Ten pierwszy wybór odgrywa dominującą rolę zwłaszcza w administracji samorządowej. Drugą, często wskazywaną (jednak wyraźnie rzadziej) grupę stanowisk stanowią: administrator bezpieczeństwa informacji (29%) i inspektor bezpieczeństwa teleinformatycznego (18%), czyli osoby, odpowiedzialne za realizację dosyć specyficznych wymogów wyżej wskazanych ustaw. Relatywnie często wskazywano też na kierownika jednostki (24%) i jego zastępcę (7%). Pozostałe odpowiedzi były rzadko wybierane.