KRI w instytucjach kultury staje się tematem coraz bardziej praktycznym, ponieważ działalność muzeów, bibliotek, domów kultury, centrów sztuki czy teatrów w dużej mierze opiera się dziś na narzędziach cyfrowych. Sprzedaż biletów online, rejestracje uczestników wydarzeń, obsługa newsletterów, systemy biblioteczne, cyfrowe archiwa zbiorów, komunikacja e-mailowa, usługi chmurowe, monitoring oraz współpraca z dostawcami IT powodują, że bezpieczeństwo informacji przestaje być kwestią wyłącznie techniczną. W tym kontekście Krajowe Ramy Interoperacyjności należy rozumieć jako zestaw minimalnych wymagań organizacyjnych i technicznych, które mają zapewnić, aby systemy teleinformatyczne wykorzystywane przez podmioty realizujące zadania publiczne działały w sposób uporządkowany, bezpieczny i przewidywalny. Instytucje kultury zwykle mieszczą się w katalogu podmiotów realizujących zadania publiczne, a to oznacza, że wymagania KRI powinny być traktowane jako obowiązek, a nie jako fakultatywna rekomendacja.
Jakie informacje przetwarza instytucja kultury i gdzie powstaje ryzyko
W instytucjach kultury szczególnie istotne jest to, że przetwarzane informacje nie ograniczają się do danych pracowników, lecz obejmują także dane widzów i uczestników zajęć, dane kontrahentów, dane osób współpracujących projektowo, informacje o umowach licencyjnych oraz dane niezbędne do rozliczeń finansowych i sprawozdawczości. W wielu przypadkach występują też informacje o podwyższonym znaczeniu, związane z bezpieczeństwem infrastruktury, organizacją wydarzeń czy ochroną zbiorów, a to dodatkowo podnosi wymagania w zakresie kontroli dostępu i ochrony dokumentacji.
Inwentaryzacja zasobów i procesów jako punkt startu wdrożenia
Wdrożenie KRI w instytucji kultury rozpoczyna się w praktyce od zrozumienia zasobów oraz procesów. Niezbędne jest ustalenie, jakie systemy są używane, gdzie są przechowywane dane, kto ma do nich dostęp i jakie są zależności od dostawców zewnętrznych. Częstym problemem jest brak pełnej inwentaryzacji sprzętu i oprogramowania, korzystanie z rozwiązań kupowanych doraźnie w ramach projektów lub grantów oraz współdzielenie narzędzi przez różne działy bez jasnego podziału odpowiedzialności.
Zarządzanie dostępami i rozliczalność działań użytkowników
Do tego dochodzi rotacja pracowników sezonowych, wolontariuszy i osób współpracujących przy wydarzeniach, co zwiększa ryzyko pozostawienia aktywnych dostępów po zakończeniu współpracy. Z perspektywy KRI oznacza to konieczność uporządkowania zasad nadawania i odbierania uprawnień, prowadzenia ewidencji dostępów oraz zapewnienia rozliczalności działań w systemach, w tym w systemach kasowych i biletowych, narzędziach do komunikacji i narzędziach do przechowywania plików.
Analiza ryzyka w instytucji kultury – praktyczne źródła zagrożeń
Niezwykle ważnym elementem wynikającym z KRI jest analiza ryzyka. Bez niej trudno udowodnić, że środki bezpieczeństwa zostały dobrane adekwatnie do realnych zagrożeń. W instytucjach kultury ryzyko często wynika z codziennych praktyk, takich jak używanie wspólnych kont do systemów, przechowywanie plików na prywatnych nośnikach, drukowanie list uczestników i pozostawianie ich w ogólnodostępnych miejscach, przesyłanie dokumentów e-mailem bez zabezpieczeń czy brak segmentacji sieci, w której działają zarówno stanowiska administracyjne, jak i komputery dostępne dla gości lub stanowiska obsługi.
Procedury incydentowe – reakcja, dokumentowanie i ograniczanie skutków
Istotne jest także przygotowanie procedur reagowania na incydenty, czyli jasnej ścieżki postępowania w sytuacji naruszenia bezpieczeństwa informacji. Powinna istnieć możliwość szybkiego zgłoszenia zdarzenia, oceny jego wpływu, podjęcia działań ograniczających skutki oraz udokumentowania przebiegu reakcji. W instytucjach kultury, gdzie infrastruktura bywa mieszana, a część usług działa w modelu zewnętrznym, sprawna procedura incydentowa jest kluczowa, bo pozwala zadziałać natychmiast, zanim problem przerodzi się w poważny kryzys organizacyjny lub wizerunkowy.
Dostawcy IT i umowy
Ważnym obszarem, na który KRI zwraca uwagę, są relacje z dostawcami i podmiotami świadczącymi usługi IT. Instytucje kultury często korzystają z systemów biletowych, usług hostingu, narzędzi do wysyłki newsletterów, platform rejestracji, serwisów stron internetowych oraz usług utrzymania infrastruktury. Wymagania KRI implikują potrzebę zadbania o zapisy dotyczące bezpieczeństwa w umowach, w tym o zasady dostępu serwisowego, odpowiedzialność, sposób postępowania w razie incydentu, warunki wykonywania kopii zapasowych, logowanie działań administracyjnych oraz wymagania dotyczące poufności i ochrony informacji.
Audyt KRI (https://eduodo.pl/uslugi/audyty/audyt-zgodnosci-z-krajowymi-ramami-interoperacyjnosci) w instytucji kultury – weryfikacja co najmniej raz w roku
KRI zakłada konieczność okresowej weryfikacji skuteczności wdrożonych rozwiązań, a to prowadzi do obowiązku przeprowadzania audytu wewnętrznego bezpieczeństwa informacji, nazywanego w praktyce audytem KRI, co najmniej raz do roku. Audyt nie powinien ograniczać się do sprawdzenia, czy istnieją dokumenty. W instytucjach kultury największą wartość daje weryfikacja, czy rozwiązania działają w codziennej pracy, czy uprawnienia są odbierane po zakończeniu współpracy, czy kopie zapasowe są testowane, czy logi są przechowywane w sposób umożliwiający analizę zdarzeń, czy pracownicy wiedzą, jak zgłaszać incydenty, oraz czy dostawcy zewnętrzni spełniają uzgodnione wymagania.