Standardy Krajowych Ram Interoperacyjności (KRI)

Rozporządzenie KRI wyznacza wymagania dla systemów informatycznych, określające:

  • specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane,
  • sposoby zapewnienia bezpieczeństwa przy wymianie informacji,
  • standardy techniczne zapewniające wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej,
  • sposoby zapewnienia dostępu do zasobów informacji podmiotów publicznych.

Zakres wymagań KRI – system informatyczny eAuditor

Jest to zbiór czynników technicznych i informacyjnych, które umożliwiają systemom informatycznym realizację zadań publicznych. Zostały one uregulowane w Rozporządzeniu Rady Ministrów wydanym na podstawie art. 18 ww. ustawy. Poniżej znajduje się zakres wymagań dla systemów informatycznych, które spełnia system eAuditor:

Projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych

  • Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.
  • Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury.
  • Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN-ISO/IEC 20000-1 i PN-ISO/IEC 20000-2.

Umożliwienie wymiany danych z innymi systemami teleinformatycznymi

  • Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne wyposaża się w składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami teleinformatycznymi za pomocą protokołów komunikacyjnych i szyfrujących określonych w obowiązujących przepisach, normach, standardach lub rekomendacjach ustanowionych przez krajową jednostkę normalizacyjną lub jednostkę normalizacyjną Unii Europejskiej.
  • W przypadku gdy w danej sprawie brak jest przepisów, norm lub standardów, o których mowa w ust. 1, stosuje się standardy uznane na poziomie międzynarodowym.
  • Informację o dostępności opisów standardów, o których mowa w ust. 2, minister właściwy do spraw informatyzacji publikuje w Biuletynie Informacji Publicznej.

Standardy kodowania znaków

  • Kodowanie znaków w dokumentach wysyłanych z systemów teleinformatycznych podmiotów realizujących zadania publiczne lub odbieranych przez takie systemy, także w odniesieniu do informacji wymienianej przez te systemy z innymi systemami na drodze teletransmisji, o ile wymiana ta ma charakter wymiany znaków, odbywa się według standardu Unicode UTF-8 określonego przez normę ISO/IEC 10646 wraz ze zmianami lub normę ją zastępującą.
  • W uzasadnionych przypadkach dopuszcza się kodowanie znaków według standardu Unicode UTF-16 określonego przez normę, o której mowa w ust.
  • Zastosowanie kodowania, o którym mowa w ust. 2, nie może negatywnie wpływać na współpracę z systemami teleinformatycznymi używającymi kodowania określonego w ust. 1.

Formaty udostępniania zasobów informacyjnych i przyjmowania danych elektronicznych

  • Systemy teleinformatyczne podmiotów realizujących zadania publiczne udostępniają zasoby informacyjne co najmniej w jednym z formatów danych określonych w załączniku nr 2 do rozporządzenia.
  • Jeżeli z przepisów szczegółowych albo opublikowanych w repozytorium interoperacyjności schematów XML lub innych wzorów nie wynika inaczej, podmioty realizujące zadania publiczne umożliwiają przyjmowanie dokumentów elektronicznych służących do załatwiania spraw należących do zakresu ich działania w formatach danych określonych w załącznikach nr 2 i 3 do rozporządzenia

Prezentacja zasobów informacji

  • W systemie teleinformatycznym podmiotu realizującego zadania publiczne służące prezentacji zasobów informacji należy zapewnić spełnienie przez ten system wymagań Web Content Accessibility Guidelines (WCAG 2.0), z uwzględnieniem poziomu AA, określonych w załączniku nr 4 do rozporządzenia.
eAuditor monitorowanie drukarek

System zarządzania bezpieczeństwem informacji

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

  • Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia.
  • Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
  • Podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
  • Bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
  • Zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    – zagrożenia bezpieczeństwa informacji,
    – skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    – stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
  • Zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    – monitorowanie dostępu do informacji,
    – czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    – zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
  • Ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.
  • Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
  • Zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.
  • Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
  • Zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    – dbałości o aktualizację oprogramowania,
    – minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    – ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    – stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    – zapewnieniu bezpieczeństwa plików systemowych,
    – redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    – niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    – kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
  • Bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

Elektroniczne zapisy w dziennikach systemów (logi)

  • Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach).
  • W dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegające na dostępie do systemu z uprawnieniami administracyjnymi i konfiguracji systemu, w tym konfiguracji zabezpieczeń.
  • Poza informacjami wymienionymi w ust. 2 mogą być odnotowywane działania użytkowników lub obiektów systemowych, a także inne zdarzenia związane z eksploatacją systemu w postaci:
    – działań użytkowników nieposiadających uprawnień administracyjnych,
    – zdarzeń systemowych nieposiadających krytycznego znaczenia dla funkcjonowania systemu,
    – zdarzeń i parametrów środowiska, w którym eksploatowany jest system teleinformatyczny.
  • Informacje w dziennikach systemów przechowywane są od dnia ich zapisu, przez okres wskazany w przepisach odrębnych, a w przypadku braku przepisów odrębnych przez dwa lata.
  • Zapisy dzienników systemów mogą być składowane na zewnętrznych informatycznych nośnikach danych w warunkach zapewniających bezpieczeństwo informacji. W uzasadnionych przypadkach dzienniki systemów mogą być prowadzone na nośniku papierowym.

Czy eAuditor jest dla Ciebie?

Poznaj eAuditor podczas bezpłatnej prezentacji.

Prezentacja online