Stan prawny: wrzesień 2015 r.

Jak dostosować systemy teleinformatyczne w jednostce sektora publicznego zgodnie ze standardem Krajowych ram Interoperacyjności.

Krajowe Ramy Interoperacyjności określają zarówno architekturę i funkcjonalność infrastruktury informatycznej, jak i sposób wdrażania, eksploatacji zarządzania systemami informatycznymi.

Celem niniejszej książki jest wskazanie problemów, z którymi można spotkać się w trakcie wdrażania Krajowych Ram Interoperacyjności oraz możliwości ich praktycznego rozwiązania. Znaczną część publikacji poświęcono problematyce wdrożenia systemów zarządzania bezpieczeństwem informacji i zarządzania usługami, wyjaśniając również praktyczne znaczenie wymagań opisanych w normach przywołanych w rozporządzeniu. Przedstawiono praktyczne rozwiązania dostosowane do wymagań podmiotów realizujących zadania publiczne, co jest szczególnie istotne w przypadku systemu zarządzania usługami zmieniającego podejście instytucji do zarządzania infrastrukturą informatyczną.

Dostosowanie instytucji do wymagań stawianych przez Krajowe Ramy Interoperacyjności może oznaczać:

• konieczność modyfikacji wykorzystywanej infrastruktury informatycznej w celu zapewnienia zgodności z narzuconymi standardami w zakresie komunikacji miedzy systemami
• instalacje dodatkowego oprogramowania umożliwiającego odczyt i zapis danych w wymaganych formatach, czy przetwarzania danych w ramach zdefiniowanych struktur.
• konieczność wdrożenia w instytucji dwóch złożonych systemów zarządzania – systemu zarządzania bezpieczeństwem informacji oraz systemu zarządzania usługami. Obowiązek ten uznaje się za spełniony, gdy zasady te zostały wdrożone zgodnie z normami przywołanymi w rozporządzeniu, tj. PN-ISO/IEC 20000-1, PN-ISO/IEC 20000-2, PN-ISO/IEC 27001, PN-ISO/IEC 17799, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762.
• wykazania, że systemy te są należycie eksploatowane, nadzorowane oraz doskonalone (zgodnie z przywołanymi powyżej normami).
• dostosowanie serwisów internetowych instytucji z wymaganiami WCAG 2.0 (dostęp do stron internetowych osobom niepełnosprawnym, a zapewnienie zgodności z nimi wymaga innej filozofii projektowania serwisów, niż w przypadku zwykłych stron internetowych).

Wprowadzenie systemów zarządzania nie jest zadaniem trywialnym, zwłaszcza w przypadku niewielkiej instytucji o znacznie ograniczonym personelu. W takich przypadkach konieczne jest szczególnie rozważne określanie zadań wynikających z wymagań normatywnych, tak, aby z jednej strony umożliwić ich praktyczną realizację, biorąc pod uwagę również inne obowiązki pracowników instytucji, z drugiej zaś, aby zapewnić zgodność ze standardami, uwzględniając możliwość weryfikacji zgodności sposobu funkcjonowania instytucji z wymaganiami Krajowych Ram Interoperacyjności.

W książce wyjaśniamy m.in. następujące zagadnienia:

• Jak dostosować systemy informatyczne do wymagań Krajowych Ram Interoperacyjności?
• Jakie dodatkowe oprogramowanie należy zainstalować i co zrobić, żeby zminimalizować koszty instalacji?
• Jakie problemy mogą pojawić się przy wymianie danych drogą elektroniczną i jak je rozwiązywać?
• Jakie wymagania na serwisy internetowe nakłada standard WCAG 2.0 i w jaki sposób zapewnić spełnienie tych wymagań?
• Jak powinien wyglądać proces zarządzania ryzykiem informatycznym i czy może być zintegrowany z już istniejącym procesem zarządzania ryzykiem operacyjnym?
• Jak wdrożyć system zarządzania bezpieczeństwem informacji i system zarządzania usługami w podmiocie realizującym zadania publiczne tak, aby były one dostosowane do specyfiki tego podmiotu?
• W jaki sposób zintegrować systemy zarządzania bezpieczeństwem informacji i zarządzania usługami ze sobą oraz z obowiązującymi w instytucji zasadami?  
• W jaki sposób przeprowadzić audyt zgodności z wymaganiami Krajowych Ram Interoperacyjności?
• Jak powiązać wymagania w zakresie audytu wewnętrznego systemów zarządzania bezpieczeństwem informacji i zarządzania usługami z zadaniami realizowanymi przez komórkę audytu wewnętrznego w instytucji?

Podmioty realizujące zadania publiczne są zobowiązane, zgodnie z rozporządzeniem Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526 ze zm.), do wdrożenia wymagań wskazanych przez wspomniane wyżej Krajowe Ramy Interoperacyjności.

PRZEPISY PRAWNE

Rozporządzenie o KRI weszło w życie 31 maja 2012 r. Jednak w § 22 tego rozporządzenia dano zastrzeżenie „Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia należy dostosować do wymagań określonych w § 19, nie później niż w terminie 3 lat od dnia wejścia w życie niniejszego rozporządzenia”, czyli do 31 maja 2015 r.  Oznacza to, że systemy teleinformatyczne należało dostosować do wymagań WCAG do dnia 31 maja 2015 r. Związane są one z koniecznością dostosowania stron internetowych jednostek finansów publicznych do potrzeb osób niepełnosprawnych (niedowidzący, niedosłyszaćy itd.).

Natomiast w § 23 tego rozporządzenia zapisano że „Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia”.Oznacza to, że przy pierwszej istotnej modernizacji systemów należało wdrożyć system zarządzania bezpieczeństwem informacji, system zarządzania usługami oraz usunąć ewentualne niezgodności z wymaganiami technicznymi wskazanymi w rozporządzeniu. W rozporządzeniu nie określono co oznacza „Pierwsza istotna modernizacja”, ale można założyć, że większość jednostek dokonało już takiej modernizacji.

Powyższe wymogi zapisane w rozporządzeniu wiążą się z koniecznością wdrożenia stosownych procedur dla m.in:

1. I.                    Zarządzania bezpieczeństwem informacji

1)      Procedury tworzenia kopii zapasowych danych,

2)      Procedury zarządzania dostępem do określonych danych (kto ma jakie uprawnienia, dane uwierzytelniające, dostęp do kont administarcyjnych, odbieranie dostępu do systemów informatycznych, modyfikacja uprawnien, przegląd uprawnień, prawo dostępu w systemach zarządzających przez podmioty zewnętrzne),

3)      Procedury użytkowania systemów teleinformatycznych (bezpieczene użytkowanie systemów, przechowywanie danych, przekazywanie informacji, korzystanie przez użytkowników z Internetu, bezpeiczeństwo sprzętu informatycznego i oprogramowania),

4)      Procedury zarządzania sprzętem i oprogramowania (zarządzanie sprzętem, zarządzanie oprogramowaniem),

5)      Procedury zarządzania logami i pojemnością,

6)      Procedury bezpieczeństwa wymiany danych,

7)      Procedury ochrony kryptograficznej (zarządzanie certyfikatami, wymagania dla algorytmów i protokołów),

8)      Procedury ochrony przed złośliwym oprogramowaniem,

9)      Procedury współpracy z podmiotami zewnętrznymi,

10)   Procedury zarządzania incydentami naruszenia bezpieczeństwa informacji – szybkości reagowania na zgłoszone problemy (incydenty) przez użytkowniak (użytkownik systemu zgłasza do informatyka problem, a informatyk musi mieć procedurę jak reagować na takie zgłoszenie).

1. II.                  Zarządzania usługami informatycznymi

1)      Procedury zarządzania pojemnością danych,

2)      Procedury zarządzania konfiguracją i zarządzania wydaniami,

3)      Procedury zarządzania incydentami,

4)      Procedury wnioskowania o usługi,

5)      Procedury zarządzania dokumentami.

W książce zamieszczone są dwie przykładowe procedury w formie wzorca (gotowca), a do pozostałych są pokazane szczegółowe wytyczne jak takie procedury przygotować.

Warto też pamiętać, że jednostka musi generować roczne raporty z oceny ryzyka (Analiza ryzyka, zgodnie z KRI, powinna być przeprowadzana „okresowo”, audyty bezpieczeństwa – co roku. W praktyce jedno wiąże się z drugim, ale z KRI nie wynika wprost częstotliwość audytów).  Ksiażka zwiera wytyczne jak stworzyć takie procedury w zakresie zarządzania ryzykiem w jednostce.

Warto pamiętać, że książka zawiera wyjaśnienia jak sformułować umowę z dostawcą oprogramowania, aby spełnić wymagania KRI.

Choć terminy na dostosowanie systemów do wymogów w większości jednostek już minęły to zgodnie z raportem NIK (w załączniku) i doświadczeniem autora wiele jednostek nie wdrożyła standardów KRI i posiada w swojej dokumentacji stosownych procedur.

Jakie mogą być zatem konsekwencje, kary dla osób, które nie wdrożyły standardów KRI oraz kto jest za to odpowiedzialny (kierownik jednostki, czy informatyk)?  W rozporządzeniu nie ma zapisanych kar za niewdrożenie KRI, ale jedną z odpowiedzialności będzie odpowiedzialność służbowa skierowana do informatyka, a nawet odpowiedzialność karna (Odpowiedzialność taka może być wyciągnięta, ale będzie to zależało od wielu czynników, w tym od zakresu obowiązków informatyka. Kwestia odpowiedzialności karnej dotyczy de facto braku zabezpieczenia danych osobowych). Informatyk powinien znać standardy KRI i wdrażać je w jednostce. Ponadtoodpowiedzialność może dotknąć również kierownika jednostki – jeżeli w jednostce będzie kontrola NIK, RIO, Urzędu Wojewódzkiego, czy też innego organu nadzorczego, to będzie w nim negatywna opinia dla jednostki, a zarazem dla kierownika jednostki.