Podobna historia wydarzyła się w grudniu 2009 r., kiedy to haker pozdrowił Premiera z jego własnej witryny. Aż strach pomyśleć, co mogłoby się stać, gdyby celem włamywacza nie był żart, ale kradzież pieniędzy, danych osobowych czy inne przestępstwa wynikające z nieodpowiedniego poziomu zabezpieczenia. Sytuacjom takim można zapobiec, przeprowadzając wewnętrzny audyt informatyczny - odgrywa on ważną rolę w zapewnieniu ochrony infrastrukturze informatycznej w urzędzie.

Podstawa prawna audytu

Audyt wewnętrzny został wprowadzony w Polsce w 1998 r. przepisami ustawy o finansach publicznych (DzU nr 155, poz. 1014) i rozporządzeniami Ministra Finansów, stosownie do zaleceń Unii Europejskiej. W 2009 r. Ministerstwo Finansów zmieniło zakres audytu wewnętrznego w jednostkach sektora finansów publicznych. Ustawa o finansach publicznych, która weszła w życie 1 stycznia 2010 r. (DzU nr 157, poz. 1240), wprowadziła nową listę kwalifikacji zawodowych, które musi mieć audytor wewnętrzny. Z kolei w komunikacie Ministerstwa Finansów z dnia 22 grudnia 2009 r. w sekcji "Standardy kontroli zarządczej" znajduje się zalecenie, zgodnie z którym: "Należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych" (pkt 15).

Konieczność przeprowadzania wewnętrznego audytu informatycznego w jednostkach administracji publicznej wynika więc bezpośrednio z obowiązku przeprowadzania ogólnego audytu wewnętrznego. Planowanie i prowadzenie audytu powinno być jednak oparte na analizie ryzyka biznesowego oraz ryzyka związanego z pracą systemów informatycznych wspierających instytucje państwowe. Ministerstwo Finansów wspiera ideę wewnętrznego audytu informatycznego przez rekomendację Stowarzyszenia do spraw audytu i kontroli systemów informatycznych ISACA. Poza uregulowaniami prawnymi resort finansów udostępnił urzędom również "Podręcznik audytu wewnętrznego w administracji publicznej" oraz "Kodeks etyki audytora wewnętrznego w jednostkach sektora finansów publicznych".

Po co audyt

Są trzy rodzaje audytu wewnętrznego: finansowy, operacyjny i informatyczny. Ten ostatni może być przeprowadzony niezależnie lub jako wsparcie dwóch pozostałych.

Urzędom, podobnie jak firmom i użytkownikom prywatnym grożą ataki cyberprzestępców, włamania i kradzież danych, a także działanie wirusów. Respondenci, biorący udział w corocznym badaniu "CSI Computer Crime and Security Survey 2009", zanotowali m.in. 8,2% więcej infekcji złośliwym oprogramowaniem niż w roku poprzednim. O 8,3% wzrosła liczba kradzieży haseł i o 7,5% - liczba włamań na strony internetowe, prowadzących do zmiany wyglądu strony.

[...]

Autor jest partnerem zarządzającym w firmie Optima Partners. Specjalizuje się w doradztwie biznesowym i informatycznym oraz audytach i przeglądach IT. Współtworzył dział zarządzania ryzykiem informatycznym w firmach Ernst & Young oraz Andersen.