Ramy dla systemów teleinformatycznych w Administracji Publicznej. Dla kogo? Jak spełnić wymagania?

W dniu 16 grudnia 2011 Komisja Europejska opublikowała nową wersję Europejskich Ram interoperacyjności. Celem tego dokumentu jest promowanie interoperacyjności wśród państw członkowskich Unii Europejskiej. W Polsce aktem, który regulować ma kwestie ramy interoperacyjności jest Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Rozporządzenie to w zasadniczy sposób porządkuje prawodawstwo w zakresie podstawowych wymagań i zaleceń dla nowych oraz istniejących systemów teleinformatycznych jednostek publicznych (urzędy, ministerstwa, agencje, stowarzyszenia, towarzystwa, sądy, szpitale). Krajowe Ramy Interoperacyjności – co to oznacza ?

Interoperacyjność – to zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz realizacji zadań publicznych.
Z pojęciem interoperacyjności wiąże się pojęcie interoperacyjności teleinformatycznej, która jest definiowana jako zdolność systemów teleinformatycznych oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą.
Krajowe Ramy Interoperacyjności określają m.in. sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych.

Krajowe Ramy Interoperacyjności a ISO 27001 i ISO 20000

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych zawiera m.in.:

  • specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym;
  • zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  • utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  • przeprowadzania okresowych analiz ryzyka pod kątem bezpieczeństwa informacji oraz podejmowania działań minimalizujących to ryzyko;
  • zarządzanie kontrolą dostępu do informacji;
  • zapewnienia szkolenia;
  • stosowanie środków zapewniających bezpieczeństwo informacji;
  • zawierania w umowach serwisowych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  • ustalenia zasad postępowania z informacjami (publiczna, chroniona, …);
  • zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych;
  • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  • bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w sposób, umożliwiający szybkie podjęcie działań korygujących;
  • zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Wymagania dotyczące zarządzania usługą IT uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą IT podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm:

  • PN-ISO/IEC 20000-1 Zarządzanie usługami IT – Specyfikacja
  • PN-ISO/IEC 20000-2 – Reguły postępowania

Wymagania dotyczące zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:

  • PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń;
  • PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem bezpieczeństwa informacji;
  • PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarzadzania ciągłością działania;

Zatem kompleksowym sposobem spełnienia zawartych w nim wymagań jest wdrożenie systemów zarządzania bezpieczeństwem informacji oraz zarzadzania usługami IT zgodnych ze wskazanymi standardami.

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.