„Otvorenosť“ Piešťanskej radnice

► Žiadame vás o zaslanie informácií o tom, za akým účelom bola zriadená komisia na vykonanie bezpečnostného auditu.
Podľa Zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov je nevyhnutné, aby ten, kto spracováva osobné údaje, v závislosti od rizikovosti spracúvania osobných údajov, mal zdokumentované prijaté bezpečnostné opatrenia v bezpečnostnej dokumentácii informačného systému ochrany osobných údajov. Konkrétny rozsah a podrobnosti dokumentácie bezpečnostných opatrení upravuje vo svojej vyhláške č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení, Úrad na ochranu osobných údajov SR. Mesto Piešťany má uvedené bezpečnostné opatrenia prijaté v Bezpečnostnom projekte, ktorého súčasťou je interný predpis „Bezpečnostná smernica mesta Piešťany č. 4/2014“ podpísaná dňa 20. 3. 2014 vtedajším primátorom Ing. Remom Cicuttom s platnosťou smernice od 31. 3. 2014. Kontrolná komisia bola vytvorená na základe a za účelom kontroly dodržiavania tohto interného predpisu – smernice č. 4/2014.

► Čo má byť jej výstupným dokumentom a na čo bude výsledok kontroly slúžiť?
Písomná správa vypracovaná kontrolnou komisiou.
Kontrolná činnosť je súbor činností, ktorých úlohou je zisťovanie stavu bezpečnosti a ochrany aktív Mesta Piešťany, stavu pripravenosti a účinnosti opatrení, výkon dozoru nad plnením bezpečnostnej smernice, zisťovanie, prešetrovanie a riešenie bezpečnostných incidentov. Výsledky kontroly slúžia k prijímaniu opatrení a činností na odstránenie nedostatkov zistených kontrolou, ktorých cieľom je zvýšenie alebo zlepšenie bezpečnosti.

► Kedy komisia vznikla?
Kontrolná komisia bola vymenovaná 4. 3. 2015.

► Aký rozsah oprávnenia pre styk s utajovanými skutočnosťami má a kto jej ho udelil?
Kontrolná komisia nemá udelené oprávnenia pre styk s utajovanými skutočnosťami, pretože pri výkone svojej činnosti nedisponuje utajovanými skutočnosťami.

► Tiež vás žiadame o informáciu o tom, na základe akého zákona, uviesť úplné paragrafové znenie, podľa ktorého mestský úrad utajuje činnosť komisie na vykonanie bezpečnostného auditu.
Mestský úrad neutajuje činnosť komisie – je známe, že komisia vykonáva kontrolnú činnosť zameranú na dodržiavanie interného predpisu „Bezpečnostná smernica mesta Piešťany č. 4/2014“, pričom výsledky kontroly budú verejnosti sprístupnené takým spôsobom a rozsahom, aby neboli porušené zákony SR, interné normy Mesta Piešťany a nebola ohrozená bezpečnosť informačných systémov Mesta Piešťany. Prípadné bezpečnostné nedostatky, chyby, nesprávne činnosti alebo postupy, zistené pri kontrole, nemožno verejnosti poskytovať z dôvodu ich možného zneužitia.
Menovanie, postup, opis kontrolných úloh a ostatné náležitosti ohľadom výkonu bezpečnostnej kontroly sa riadia Bezpečnostnou smernicou mesta Piešťany č. 4/2014 prijatou na základe §19 a §20 Zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Jej ustanovenia sú v súlade so Zákonom č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, Vyhláškou č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení, Zákonom 275/2006 Z.z. o informačných systémoch verejnej správy, Výnosom Ministerstva financií Slovenskej republiky č. 55/ 2014 Z.z. o informačných systémoch verejnej správy a podľa technických noriem STN ISO/ETC 27001, STN ISO/ETC 27002 a STN ISO/ETC 27005. Bezpečnostný projekt mesta Piešťany, ktorého súčasťou je Bezpečnostná smernica č. 4/2014, bola vypracovaná spoločnosťou SOMI Consulting s.r.o., Lazovná 69, 974 01 Banská Bystrica, ktorá si na dokumenty Bezpečnostného projektu vyhradzuje autorské práva.

► V ďalšom vás žiadame zaslať informáciu o tom, či viceprimátor Michal Hynek má úplný prístup k elektronickej databáze vedenej v informačnom systéme radnice, kto mu tento vstup udelil, na aký účel a na aké obdobie má prístupové heslá vydané. Takisto, či Michal Hynek do informačného systému vstupuje pod vlastným menom a heslom alebo pod menom a heslom zamestnanca mestského úradu, ktorý vstupuje do systému ako administrátor.
Prístupové práva boli zástupcovi primátora pridelené bezpečnostným správcom a správcom IT aktíva v takom rozsahu oprávnení, aby bolo možné vykonávať úlohy stanovené opisom úloh pre výkon kontroly bezpečnostnou kontrolnou komisiou ako aj úlohy súvisiace s povinnosťami určenými pri zastupovaní primátora mesta Piešťany. Prístup do informačných systémov mesta Piešťany sa riadi zavedeným štandardom identifikácie používateľa a jeho následnej autentizácie pri vstupe do informačného systému, každý vstup je zaznamenaný a je identifikovateľné, ktorá osoba a kedy do informačného systému vstúpila. Vzhľadom na povahu údajov, ktoré sú predmetom bezpečnostných dokumentov, Vám nemôžu byť poskytnuté podrobnejšie informácie.

► Ako proces bezpečnostného auditu prebieha, akými oblasťami sa zaoberá a čo konkrétne skúma?
Procesy všetkých interných bezpečnostných kontrol sa riadia postupmi a predpismi uvedenými v Bezpečnostnej smernici mesta Piešťany č. 4/2014. Cieľom výkonu kontrol je dodržiavanie ustanovení interného predpisu bezpečnostnej smernice za účelom vymedzenia rozsahu a spôsobu použitia technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačné systémy Mesta Piešťany z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.

► Má bezpečnostná komisia spracovaný plán kontroly, podľa ktorého postupuje, a kedy podľa tohto plánu, prípadne obdobného dokumentu, svoju činnosť ukončí a kedy s výsledkami kontroly oboznámi verejnosť?
Kontrolná komisia vykonáva kontrolu podľa nariadenia opisu kontrolných úloh, pri svojom výkone kontrolnej činnosti je povinná sa riadiť internými predpismi určenými pre výkon kontrolnej činnosti v Bezpečnostnej smernici mesta Piešťany č. 4/2014. S výsledkami bezpečnostných kontrol z dôvodu možného zneužitia zistených bezpečnostných nedostatkov, chýb, nesprávnych činností alebo postupov sa nemôže verejnosť oboznamovať.

Dočítate sa v Piešťanskom týždni číslo 19, ktoré je v predaji od 5. mája.