Ramy dla systemów teleinformatycznych w Administracji Publicznej

W dniu 16 grudnia 2011 Komisja Europejska opublikowała nową wersję Europejskich Ram interoperacyjności. Celem tego dokumentu jest promowanie interoperacyjności wśród państw członkowskich Unii Europejskiej. W Polsce aktem, który regulować ma kwestie ramy interoperacyjności jest Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Rozporządzenie to w zasadniczy sposób porządkuje prawodawstwo w zakresie podstawowych wymagań i zaleceń dla nowych oraz istniejących systemów teleinformatycznych jednostek publicznych (urzędy, ministerstwa, agencje, stowarzyszenia, towarzystwa, sądy, szpitale). Krajowe Ramy Interoperacyjności – co to oznacza?

Interoperacyjność – to zdolność systemów informacyjnych jednostek administracji publicznej do wspólnego działania na rzecz realizacji zadań publicznych.
Z pojęciem interoperacyjności wiąże się pojęcie interoperacyjności teleinformatycznej, która jest definiowana jako zdolność systemów teleinformatycznych oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą.
Krajowe Ramy Interoperacyjności określają m.in. sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych.

Krajowe Ramy Interoperacyjności a ISO 27001 i ISO 20000.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych zawiera m.in.:

• specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym;
• zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
• utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
• przeprowadzania okresowych analiz ryzyka pod kątem bezpieczeństwa informacji oraz podejmowania działań minimalizujących to ryzyko;
• zarządzanie kontrolą dostępu do informacji;
• zapewnienia szkolenia;
• stosowanie środków zapewniających bezpieczeństwo informacji;
• zawierania w umowach serwisowych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
• ustalenia zasad postępowania z informacjami (publiczna, chroniona, …);
• zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych;
• kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
• bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w sposób, umożliwiający szybkie podjęcie działań korygujących;
• zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Wymagania dotyczące zarządzania usługą IT uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą IT podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm:

• PN-ISO/IEC 20000-1 Zarządzanie usługami IT – Specyfikacja
• PN-ISO/IEC 20000-2 – Reguły postępowania

Wymagania dotyczące zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:

• PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń;
• PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem bezpieczeństwa informacji;
• PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarzadzania ciągłością działania;

Zatem kompleksowym sposobem spełnienia zawartych w nim wymagań jest wdrożenie systemów zarządzania bezpieczeństwem informacji oraz zarzadzania usługami IT zgodnych ze wskazanymi standardami.