Bezpieczeństwo Informacji- komentarz Audytela na temat sytuacji na rynku (luty 2014)
Administracja publiczna jest nierozerwalnie związana z biurokracją. Na szczęścia ta stopniowo przenosi się do systemów informatycznych, dzięki czemu ma działać szybciej i sprawniej. Urzędy coraz częściej udostępniają przez Internet e-wnioski, skrzynki podawcze oraz używają stron www do komunikacji z obywatelami. Jest przy tym bardzo ważne, aby wdrażane systemy były łatwe w obsłudze dla użytkowników, a przetwarzanie danych zapewniało kompatybilność z innymi systemami.
Przez lata nie wdrożono spójnej wizji rozwoju systemów informatycznych w administracji publicznej, przez co wiele procesów było i jest realizowanych nieefektywnie (niemal każdy zna zjawisko „interfejsu papierowego”, który służy do przenoszenia informacji pomiędzy systemami informatycznymi w urzędach). Z czasem zauważono również wagę bezpieczeństwa informacji, do czego przyczyniło się kilka głośnych włamań (jak chociażby strona www Kancelarii Premiera zabezpieczona loginem „admin” i hasłem „admin1”).
Sprawa dojrzała na tyle, że ustawodawca postanowił wypełnić te luki i w ten sposób w kwietniu 2012 opublikowano Rozporządzenie w sprawie Krajowych Ram Interoperacyjności (KRI). Zawiera ono wspólny model odniesienia dla systemów IT w administracji publicznej, obejmujący m.in. zbiór uzgodnionych definicji, wymagań, reguł architektury systemów teleinformatycznych oraz procedur i zasad komunikacji.
Pierwsza część wymagań dotyczy interoperacyjności, to znaczy zapewnienia „gładkiej” współpracy pomiędzy systemami IT. Dotyczy to wielu aspektów szeroko pojętej informatyki, od procesów funkcjonalnych, przez protokoły komunikacyjne aż po kodowanie znaków. Dużo miejsca poświęcono również otwartym formatom danych, które powinny być obsługiwane przez systemy IT w administracji publicznej.
Druga część wymagań dotyczy bezpieczeństwa. W tym zakresie – cytując Alfreda Hitchcocka – autorzy zaczęli od trzęsienia ziemi, potem zaś napięcie nieprzerwanie rośnie. Każdy podmiot publiczny ma bowiem wdrożyć System Zarządzania Bezpieczeństwem Informacji oparty na normie ISO 27001 oraz stosować następujące standardy:
- PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń,
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem,
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie.
Rozporządzenie obejmuje wszystkie podmioty realizujące zadania publiczne posiadające lub uruchamiające systemy teleinformatyczne i rejestry. W przypadku systemów funkcjonujących przed wejściem w życie rozporządzenia, ich dostosowanie musi nastąpić nie później niż w dniu ich pierwszej istotnej modyfikacji. Warto też wspomnieć, że rozporządzenie obliguje kierownictwo podmiotu publicznego do przeprowadzenia okresowego audytu w zakresie bezpieczeństwa informacji.
Wszystko wskazuje na to, że KRI nie pozostanie jedynie na papierze, ale będzie egzekwowane jako ważny element procesu rozwoju systemów informatycznych w administracji publicznej w Polsce. Jako profesjonaliści wiemy, że wypełnienie wymagań KRI będzie wymagało sporego wysiłku, ale jako obywatel powinniśmy się z tego cieszyć, bo będzie to oznaczało znaczne oszczędności w kosztach administracji, czego szczerze sobie i Państwu życzę.