Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram...
-
Upload
paulina-giersz -
Category
Documents
-
view
221 -
download
0
Transcript of Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram...
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
1/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
2/91
POLSKIE TOWARZYSTWO INFORMATYCZNE
Przemysław Jatkiewicz
Wdrożenie wybranych wymagań
dotyczących systemów informatycznych
oraz Krajowych Ram Interoperacyjności
w jednostkach samorządu terytorialnego
Raport z badań
WARSZAWA 2 016
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
3/91
PO L S K I E TO W A R Z Y S T W O IN F O R M A T Y C Z N E
Wszystkie tabele, rysunki i wykresy, o ile nie zaznaczono inaczej, został y wykonane przez Autora
ISBN 978–83–60810–82-8 (druk)
ISBN 978–83–60810–83-5 (e-book)
Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa 3.0 Polska.Aby zapoznać się z kopią licencji, należy odwiedzić stronę internetową http://creativecommons.org/licenses/by/3.0/pl/legalcode lub wysłać list doCreative Commons, 543 Howard St.,5th Floor, San Francisco, California, 94105, USA.
CC by POLSKIE TOWARZYSTWO INFORMATYCZNE 2016
Badanie wykonał Zespół w składzie:
Przemysław Jatkiewicz (kierownik), Adam Mizerski, Krystyna Pełka-Kamińska, AnnaSzczukiewicz, Janusz Żmudziński
Recenzenci:
Prof. dr hab. Zdzisław Szyjewski – Uniwersytet Szczeciński
Dr inż. Adrian Kapczyński – Politechnika Śląska w Gliwicach
Korekta: zespół
Skład: Marek W. Gawron
Wydawca:
POLSKIE TOWARZYSTWO INFORMATYCZNE
00-394 Warszawa, ul. Solec 38 lok. 103
tel. +48 22 838 47 05e-mail: [email protected]
www.pti.org.pl
Druk i oprawa:
ELPIL
08-110 Siedlce, ul. Artyleryjska 11
tel. +48 25 643 65 51
e-mail: [email protected]
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
4/91
Spis treści
Od Wydawcy 5
1. Wstęp 7
2. Metodyka 9
3. Przebieg badań 17
4. Wyniki badań 25
4.1. Stosowanie norm PN-ISO/IEC 25
4.2. Inwentaryzacja aktywów teleinformatycznych 26
4.3. Analiza ryzyka 27
4.4. Rejestr incydentów 28
4.5. Polityka bezpieczeństwa 29
4.6. Zasoby ludzkie 32
4.7. Procedury 34
4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa 36
4.9. Zgodność z WCAG 2.0 38
5. Weryfikacja hipotez 39
5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami
realizowanymi za pomocą systemów teleinformatycznych zgodnie
z przepisami KRI 39
5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza-
nia usługami realizowanymi za pomocą systemów teleinformatycz-
nych jest zależna od wielkości podmiotu, liczby i wykształcenia osób
związanych z IT 40
5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawi-
dłowo systemu zarządzania bezpieczeństwem informacji 42
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
5/91
5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeń-
stwem informacji zależy od wielkości podmiotu, liczby i wykształce-
nia osób zwią
zanych z IT 435.5. Hipoteza 5: Większość systemów teleinformatycznych badanych pod-
miotów służących do prezentacji zasobów informacji nie jest zgod-
nych ze standardem WCAG 2.0 45
5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność
swoich systemów teleinformatycznych służących do prezentacji
zasobów informacji ze standardem WCAG 2.0 45
5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwat-
nych kwalifikacji kadry badanych jednostek 45
6. Wnioski i spostrzeżenia 47
Bibliografia 51
Za łącznik 1. Ankieta 55
Za łącznik 2. Zażalenie 59
Za łącznik 3. Wspólne stanowisko Departamentu Informatyzacji MAiC
i Departamentu Audytu Sektora Finansów Publicznych MF
odnośnie zapewnienia audytu wewnętrznego w zakresie
bezpieczeństwa informacji 61
Za łącznik 4. Wyciąg z dokumentu WCAG 2.0 dotyczącego badanych
wytycznych 65
Za łącznik 5. Wykaz badanych podmiotów 69
Za łącznik 6. Wykaz podmiotów, którym przekazano wyniki badań 85
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
6/91
Szanowni Państwo,
mamy przyjemność przekazać w Państwa ręce trzecią książkę z cyklu wydawni-
czego Polskiego Towarzystwa Informatycznego Biblioteczka Izby Rzeczoznaw-
ców PTI .
Celem cyklu jest przedstawienie treści mogących zainteresować zarówno
osoby zajmujące się zawodowo informatyką, jak i tych z Państwa, którzy w swojej
pracy stykają się z zagadnieniami i problemami związanymi z informatyką.
Autorem trzeciego tomu z cyklu Biblioteczka Izby Rzeczoznawców PTI jest rze-
czoznawca Izby Rzeczoznawców PTI, dr inż. Przemysław Jatkiewicz. Monografia
prezentuje wyniki badań przeprowadzonych w roku 2015, a dotyczących przepi-
sów Rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych
Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wy-
miany informacji w postaci elektronicznej oraz minimalnych wymagań dla syste-
mów teleinformatycznych, związanych z zarządzaniem systemami informatycz-
nymi. W trybie dostępu do informacji publicznej pozyskano dane od 339 jednostek
samorządowych, które pozwoliły na weryfikację postawionych na wstępie hipotez.
Zapraszamy do lektury niniejszego oraz poprzednich i kolejnych tomów z serii
Biblioteczka Izby Rzeczoznawców PTI .
Marian Noga Tomasz Szatkowski
Prezes Dyrektor Izby Rzeczoznawców
Polskiego Towarzystwa Informatycznego Polskiego Towarzystwa Informatycznego
Warszawa 1 marca 2016 roku
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
7/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
8/91
Wstęp
30 maja 2012 roku wesz ł o w życie rozporzą dzenie Rady Ministrów z 12
kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności,
minimalnych wymagań dla rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymagań
dla systemów tele-informatycznych1 , zwane w dalszej części jako KRI. Rozporzą dzenie
zosta ł o wydane na podstawie art. 18 ustawy z 17 lutego 2005 roku o in-
formatyzacji dzia ł alności podmiotów realizują cych zadania publiczne2.
Artyku ł 18 zobowią zuje Radę Ministrów do określenia w drodze rozpo-
rzą dzenia, wymagań mają cych na uwadze zapewnienie między innymi:
• spójności dzia ł ania systemów teleinformatycznych,
• sprawnej i bezpiecznej wymiany informacji w postaci elektro-
nicznej,• dostępu do zasobów informacji osobom niepe ł nosprawnym.
Zapisy KRI zaczynają obowią zywać w różnych terminach. Podmioty
realizują ce zadania publiczne zosta ł y zobowią zane do dostosowania
systemów teleinformatycznych do standardu WCAG 2.0 na poziomie
AA3 w cią gu 3 lat, a więc do dnia 1 czerwca 2015 roku.
Sposób zarzą dzania us ł ugami realizowanymi za pomocą systemów
teleinformatycznych, wymiana danych pomiędzy systemami, jak i sys-
tem zarzą dzania bezpieczeństwem informacji, powinny spe ł niać przepi-
sy KRI przy wdrożeniu lub w dniu ich pierwszej istotnej modernizacji.
Wobec dużego znaczenia wspomnianych przepisów dla procesu infor-
matyzacji instytucji publicznych oraz dochodzą cych alarmują cych sygna-
1 Dz.U. 2012 poz. 526.2 Dz.U. 2005 nr 64 poz. 565.
3 Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommendation 11 Decem- ber 2008.
7
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
9/91
Przemysław Jatkiewicz
ł ów o ich realizacji w organizacjach samorzą dowych, Polskie Towarzy-
stwo Informatyczne, na mocy uchwa ł y Zarzą du G ł ównego nr 027 / XII / 2015
z 24 stycznia 2015 roku, podjęł
o prace badawcze zwią
zane z oceną
stanuwdrożenia KRI w jednostkach samorzą dowych.
8
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
10/91
Metodyka
Celem badania by ł o stwierdzenie, czy jednostki samorzą dowe spe ł niają
przepisy KRI lub podjęł y prace nad wdrożeniem odpowiednich mecha-
nizmów. Przeprowadzono je w pierwszych 3 kwarta ł ach 2015 roku. Ba-
dana populacja liczy ł a 2 917 podmiotów, na które sk
ł ada
ł y si
ę urz
ędymarsza ł kowskie, powiatowe, miejskie i gminne.
Sformułowano następujące hipotezy badawcze:
Hipoteza 1: Większość badanych podmiotów nie zarzą dza us ł ugami rea-
lizowanymi za pomocą systemów teleinformatycznych
zgodnie z przepisami KRI.
Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczą cych zarzą dzania
us ł ugami realizowanymi za pomocą systemów teleinforma-
tycznych jest zależny od wielkości podmiotu, liczby i wy-kszta ł cenia osób zwią zanych z IT.
Hipoteza 3: Większość badanych podmiotów nie wdroży ł a prawid ł owo
systemu zarzą dzania bezpieczeństwem informacji.
Hipoteza 4: Stopień wdrożenia systemu zarzą dzania bezpieczeństwem
informacji zależy od wielkości podmiotu, liczby i wykszta ł -
cenia osób zwią zanych z IT.
Hipoteza 5: Większość systemów teleinformatycznych s ł użą cych do pre-
zentacji zasobów informacji badanych podmiotów nie jest
zgodnych ze standardem WCAG 2.0.
Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swo-
ich systemów teleinformatycznych s ł użą cych do prezentacji
zasobów informacji ze standardem WCAG 2.0.
Hipoteza 7: G ł ówną przeszkodą we wdrożeniu KRI jest brak adekwat-
nych kwalifikacji kadry badanych jednostek.
9
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
11/91
Przemysław Jatkiewicz
W celu weryfikacji wymienionych hipotez, jak również uzyskania do-
datkowych cennych informacji, opracowano ankietę stanowią cą za łą cz-
nik nr 1.Hipotezę nr 1 weryfikowano na podstawie odpowiedzi na pytania
szczegó ł owe. Można ją uznać za prawdziwą , jeśli większość z badanych
podmiotów spe ł nia przynajmniej 1 z 3 następują cych warunków:
1) Posiadanie certyfikatu zgodności z PN-ISO/IEC 200004 zgodnie
z § 15. 3 KRI.
2) Przeszkolenie przynajmniej 1 pracownika lub zakup normy PN-
ISO/IEC 20000 wraz z przeprowadzeniem audytu na zgodność
z PN-ISO/IEC 20000.3) Posiadanie przynajmniej po 1 udokumentowanej procedurze
zgodnie z § 15. 2 KRI, dotyczą cej wdrażania, eksploatacji, wyco-
fywania i testowania aktywów teleinformatycznych.
Hipotezę nr 2 weryfikowano na podstawie ustalenia zależności po-
między wielkością jednostki, określoną na podstawie jej szczebla
zgodnie z tabelą 1, a liczbą punktów przyznawanych wedle klucza pre-
zentowanego w tabeli 2.
Tabela 1. Klasy wielkości w odniesieniu do szczebla instytucji
Rodzaj urzędu Wielkość jednostki
Urząd Marszałkowski Duża
Urząd Miejski w mieście na prawach powiatu Duża
Urząd Dzielnicy (Warszawa) DużaUrząd Powiatowy Średnia
Urząd Miejski Średnia
Urząd Miasta i Gminy Mała
Urząd Gminy Mała
4 PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarzą dzanie us ł ugami – Część 1:
Specyfikacja, PN-ISO/IEC 20000-2: 2007 – Technika informatyczna – Zarzą dzanie us ł ugami– Część 2: Regu ł y postępowania.
10
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
12/91
Metodyka
Tabela 2. Punktacja cech dla hipotezy nr 2
Punktowana cecha Liczba punktów
Szkolenie przynajmniej 1 osoby z zakresu wymagań PN-ISO/IEC 20000lub zakup normy PN-ISO/IEC 20000
4
Audyt na zgodność z PN-ISO/IEC 20000 4
Procedura wdrażania nowych aktywów teleinformatycznych 1
Procedura bieżącej eksploatacji aktywów teleinformatycznych 1
Procedura wycofania aktywów teleinformatycznych 1
Procedura testowania systemów teleinformatycznych 1
Hipotezę nr 3 można uznać za prawdziwą , jeśli większość z badanych
podmiotów spe ł nia przynajmniej 1 z 3 następują cych warunków:
1) Posiadanie certyfikatu zgodności z PN-ISO/IEC 270015 , zgodnie
z § 20. 3 KRI.
2) Przeszkolenie przynajmniej jednego pracownika oraz przepro-
wadzenie audytu na zgodność z PN-ISO/IEC 27001.
3) Posiadanie i aktualizowanie:
a. inwentaryzacji aktywów teleinformatycznych,
b. analizy ryzyka,
c. rejestru incydentów,
d. polityki bezpieczeństwa i informacji opartych o PN-
ISO/IEC 27001.
Hipotezę nr 4 weryfikowano na podstawie ustalenia zależności pomię-dzy wielkością jednostki, określoną na podstawie jej wielkości zgodnie
z tabelą 1 oraz liczbą i wykszta ł ceniem kadry odpowiedzialnej za zarzą -
dzanie przetwarzaniem informacji, w powiazaniu z liczbą punktów
przyznawanych zgodnie z kluczem prezentowanym w tabeli 3.
5 PN-ISO/IEC 27001:2014, Technika informatyczna – Techniki bezpieczeństwa – Systemyzarzą dzania bezpieczeństwem informacji – Wymagania.
11
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
13/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
14/91
Metodyka
Punkty za wykonanie analizy ryzyka by ł y przyznawane, jeśli podana
zosta ł a metodyka oraz data aktualizacji, a czas jaki up ł ynął od jej wyko-
nania nie by ł d ł uż
szy niż
1 rok.Uznano, iż badany podmiot prowadzi rejestr incydentów, jeśli zade-
klarowano w ankiecie jego prowadzenie i określono datę rejestracji
ostatniego incydentu.
Weryfikacja hipotezy nr 5 polega ł a na kontroli zgodności w bada-
nych podmiotach systemów teleinformatycznych s ł użą cych do prezen-
tacji zasobów informacji ze standardem WCAG 2.0.
Pe ł ny audyt wszystkich systemów jest zadaniem daleko wykraczają -
cym poza możliwości zespo ł u realizują cego badania. Badania przepro-wadzono jedynie wobec startowych stron BIP w zakresie zgodności z wy-
tycznymi zamieszczonymi w tabeli 4.
Tabela 4. Kontrolowane wytyczne WCAG 2.0
Zasada Wytyczna Kontrolowana cecha
Zasada nr 1:
Postrzegalność
Wytyczna 1.1Alternatywa w
postaci tekstu
1.1.1 Treść nietekstowa: wszelkie treści nietekstoweprzedstawione użytkownikowi posiadają swoją tek-stową alternatywę, która pełni tę samą funkcję
Wytyczna 1.4
Możliwość rozróż-nienia
1.4.3 Kontrast (minimalny): wizualne przedstawienie
tekstu lub obrazu tekstu posiada kontrast wynoszącyprzynajmniej 4,5:1
Zasada nr 4:
Solidność Wytyczna 4.1
Kompatybilność
4.1.1 Parsowanie: w treści wprowadzonej przy uży-ciu języka znaczników, elementy posiadają pełneznaczniki początkowe i końcowe, elementy są za-gnieżdżane według swoich specyfikacji, elementynie posiadają zduplikowanych atrybutów orazwszystkie ID są unikalne, za wyjątkiem przypadków,kiedy specyfikacja zezwala na wyżej wymienionecechy
Do kontroli zgodności wyszczególnionych cech z poszczególnymi wy-
tycznymi, użyto W3C Markup Validation Service oraz przeglą darkę Mo-
13
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
15/91
Przemysław Jatkiewicz
zilla Firefox z zainstalowanymi dodatkami WAVE Toolbar i WCAG Con-
trast checker.
Hipotezę nr 6 weryfikowano na podstawie liczby systemów spe ł nia-
ją cych kontrolowane cechy eksploatowanych przez poszczególne klasy
i wielkości instytucji przedstawione w tabeli 1.
Prawdziwość hipotezy nr 7 sprawdzono na podstawie odpowiedzi
na pytanie nr 7 ankiety, w którym respondenci przyznają punkty 0÷5 dla
czynników, które stanowi ł y problem przy ustanowieniu i wdrożeniu
Polityki bezpieczeństwa.
Pomimo, że badana populacja nie jest zbyt duża, zdecydowano się na
reprezentacyjną metodę badań. Przyjęto, iż cechy mają rozk ł ad hiper-geometryczny, który przybliżono rozk ł adem normalnym i zastosowano
następują cy wzór na minimalną wielkość próby8:
=
(1)
gdzie:
n – liczebność próbyN – liczebność populacji
– b łą d
p – wielkość frakcji
u – 1.96, kwantyl rozk ł adu normalnego dla testu dwustronnego
przy poziomie ufności 95%.
Przy liczebności próby wynoszą cej 2 917, b łędzie 5% oraz przyjętej wiel-
kości frakcji 0,5 minimalna liczebność próby to 339.
W celu wyboru obiektów wykonano losowanie bez zwracania, war-
stwowe, przy pomocy generatora liczb pseudolosowych. Oddzielnie loso-
wano podmioty należą ce do każdego rodzaju wyszczególnionego w tabe-
li 1, z uwzględnieniem częstości jego występowania w populacji. Liczby
wylosowanych podmiotów przedstawiono w tabeli 5.
8 J. Steczkowski, Metoda reprezentacyjna w badaniach zjawisk ekonomiczno-spo ł ecznych , Wy-dawnictwo Naukowe PWN, Warszawa 1995, s. 190.
14
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
16/91
Metodyka
Tabela 5. Liczba wylosowanych podmiotów
Rodzaj urzędu Liczba wylosowanych podmiotów
Urząd Marszałkowski 2
Urząd Miejski w mieście na prawach powiatu 8
Urząd Dzielnicy (Warszawa) 2
Urząd Powiatowy 36
Urząd Miejski 38
Urząd Miasta i Gminy 70
Urząd Gminy 183
Razem 339
15
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
17/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
18/91
Przebieg badań
Do wszystkich wylosowanych podmiotów wys ł ano pocztą ankiety w formie
wniosku o udostępnienie informacji publicznej. Przyjęta forma mia ł a zagwa-
rantować szybki i 100% zwrot ankiet, gdy
ż w my
śl art. 4 ust. 1 p. 4 ustawyz 6 września 2001 roku o dostępie do informacji publicznej9 , organy admi-
nistracji samorzą dowej zobowią zane są do jej udostępnienia a termin
udzielenia odpowiedzi wynosi 14 dni.
Generalnie termin 14 dni nie by ł dotrzymywany. Ankiety systematycznie
sp ł ywa ł y przez okres 1,5 miesią ca, w trakcie którego odbierano liczne tele-
fony z proś bą o dodatkowe informacje lub przed ł użenie terminu odpo-
wiedzi. Urzędnicy zwracali się z pytaniami o znaczenie terminów: ak-
tywa informacyjne i aktywne węz ł y sieci. Nie rozumieli też , co oznaczametodyka wykonania analizy ryzyka.
Nieliczni respondenci upierali się , iż nie mogą udzielić odpowiedzi ze
względu na politykę ochrony informacji. Problem dotyczy ł zw ł aszcza py-
tania nr 2 w zakresie liczby aktywów, węz ł ów i baz danych oraz pytania
nr 3 w zakresie rejestracji incydentów.
Zdaniem autora zastrzeżenia te są bezpodstawne, gdyż zgodnie z ustawą
o dostępie do informacji publicznej: „Prawo do informacji publicznej podlega
ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informa-
cji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych”. An-
kieta nie zawiera ł a pytań o dane osobowe, a traktowanie odpowiedzi
jako tajemnicy przedsię biorstwa wydaje się nadinterpretacją . Większość
informacji, które pozyskiwane by ł y podczas badań , zosta ł o niemalże
9 Dz.U. 2001 nr 112 poz. 1198.
17
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
19/91
Przemysław Jatkiewicz
wprost wymienionych w art. 6 ustawy o dostępie do informacji publicz-
nej, co zosta ł o zaprezentowane w tabeli 6.
Tabela 6. Odniesienie pytań ankiety do rodzajów informacji publicznej wyszczególnionych
w ustawie o dostępie do informacji publicznej
Nr py-
taniaTreść
Odnie-
sienieRodzaj informacji publicznej
1.Zakupione
normy
Art.
6.1 2fMajątek podmiotów realizujących zadania publiczne
1. Przeszkoloneosoby
Art.6.1 2d
Kompetencje osób pełniących funkcje w podmiotach re-alizujących zadania publiczne
1.Audyty
i certyfikacje
Art.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz wy-
stąpienia, stanowiska, wnioski i opinie podmiotów ją
przeprowadzających
2. InwentaryzacjaArt.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz wy-
stąpienia, stanowiska, wnioski
i opinie podmiotów ją przeprowadzających
2. Analiza ryzykaArt.
6.1 4a
Dokumentacja przebiegów i efektów kontroli oraz wy-
stąpienia, stanowiska, wnioski i opinie podmiotów ją przeprowadzających
3.Rejestr
incydentówBrak odniesienia
4.Polityka bez-
pieczeństwa
Art.
6.1 4a
Treść i postać dokumentów urzędowych
Dokumentacja przebiegów i efektów kontroli oraz wy-
stąpienia, stanowiska, wnioski i opinie podmiotów ją
przeprowadzających
5.
Liczba
i kompetencjepracowników
Art.
6.1 2ai 2d
Organizacja podmiotów realizujących zadania publiczne
Kompetencje osób pełniących funkcje w podmiotach re-
alizujących zadania publiczne
6. ProceduryArt.
6.1 3
Zasady działania podmiotów realizujących zadania pu-
bliczne
Respondenci trzykrotnie zauważyli, iż pytanie nr 3 odnosi się do opinii,
nie zaś informacji publicznej. Zarzut ten jest – niestety – s ł uszny.
Dwukrotnie wp ł ynęł o wezwanie do uzupe ł nienia braków formalnych
i z ł ożenia wniosku zgodnego ze wzorem określonym w rozporzą dzeniu
18
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
20/91
Przebieg badań
Ministra Administracji i Cyfryzacji z 17 stycznia 2012 roku w sprawie wzoru
wniosku o ponowne wykorzystanie informacji publicznej10.
Wed ł ug urz
ędników, z tre
ści z
ł oż
onego wniosku (ankieta), wynikaż
e jest on zgodnie z treścią art. 23a ust. 1 ustawy o dostępie do informacji
publicznej, wnioskiem o udostępnienie informacji publicznej w celu jej
ponownego wykorzystania. Treść przytoczonego przepisu jest następu-
ją ca: „Wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki orga-
nizacyjne nieposiadające osobowości prawnej informacji publicznej lub każdej
jej części, będącej w posiadaniu podmiotów, o których mowa w ust. 2 i 3, nie-
zależnie od sposobu jej utrwalenia (w postaci papierowej, elektronicznej, dźwię-
kowej, wizualnej lub audiowizualnej), w celach komercyjnych lub niekomercyj-nych, innych niż jej pierwotny publiczny cel wykorzystywania, dla którego
informacja zosta ł a wytworzona, stanowi ponowne wykorzystywanie informacji
publicznej i odbywa się na zasadach określonych w niniejszym rozdziale”. Po-
nieważ interpretacja wydaje się jak najbardziej prawid ł owa, ponowiono
wniosek przy użyciu odpowiedniego formularza zgodnego ze wzorem.
Definitywnie nie można się jednak zgodzić z żą daniem uzasadnienia
wniosku. Przedstawiciel Urzędu Gminy Jedlnia Letnisko uzale
żni ł udziele-nie odpowiedzi od wykazania powodów, dotyczą cych każdego z 7 punktów
wniosku, dla których spe ł nienie jego żą dania będzie szczególnie istotne dla
interesu publicznego. Za podstawę swojego stanowiska przyjął przepisy
art. 3.1 ust. 1 ustawy o dostępie do informacji publicznej o brzmieniu
„Prawo do informacji publicznej obejmuje uprawnienia do uzyskania informa-
cji publicznej, w tym uzyskania informacji przetworzonej w takim zakresie,
w jakim jest to szczególnie istotne dla interesu publicznego”.
Popar ł je fragmentem uzasadnienia wyroku Wojewódzkiego Są du Admi-nistracyjnego w Poznaniu z 23 stycznia 2014 roku: „Informacją przetwo-
rzoną będzie zatem taka informacja, co do której podmiot zobowiązany do jej
udzielenia nie dysponuje taką »gotową« informacją na dzień z ł ożenia wniosku,
ale jej udostę pnienie wymaga podjęcia dodatkowych czynności. Reasumując in-
formacja będzie mia ł a charakter informacji przetworzonej w sytuacji gdy jej
udostę pnienie co do zasady wymaga dokonania stosownych analiz, obliczeń ,
10 Dz.U. 2012 poz. 94.
19
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
21/91
Przemysław Jatkiewicz
zestawień statystycznych itp. po łączonych z zaangażowaniem w ich pozyskanie
określonych środków osobowych i finansowych”11.
Pominął
jednak znaczą
cy fragment mówią
cy o tym iż: „Nie stanowi za
ś
przes ł anki dla uznania informacji publicznej za informację przetworzoną oko-
liczność , iż wymaga ona poszukiwania w zasobach archiwalnych podmiotu zo-
bowiązanego. W dalszym cią gu chodzi bowiem o informację , której udostę pnie-
nie nie wymaga jakichkolwiek analiz, obliczeń , zestawień statystycznych itp.,
a jedynie prostego odnalezienia jej w zbiorze dokumentów”. Podkreślić na-
leży, że odpowiedzi na pytania zawarte w ankiecie nie wymaga ł y doko-
nywania żadnych analiz, zestawień czy obliczeń.
W tym samym piśmie powo ł ano się również na wyrok NaczelnegoSą du Administracyjnego z 5 kwietnia 2013 roku12 , który stwierdza: „…
informacją przetworzoną jest informacja publiczna opracowana przez podmiot
zobowiązany przy uż yciu dodatkowych si ł i środków, na podstawie posiadanych
przez niego danych, w związku z żądaniem wnioskodawcy i na podstawie kry-
teriów przez niego wskazanych, czyli innymi s ł owy informacja, która zostanie
przygotowana »specjalnie« dla wnioskodawcy wedle wskazanych przez niego
kryteriów. Informacja przetworzona to taka informacja, której wytworzeniewymaga intelektualnego zaangażowania podmiotu zobowiązanego”.
Sprawdzenie danych w prowadzonych przez urzą d rejestrach lub oficjal-
nych dokumentach czy procedurach wymaga wysi ł ku intelektualnego
znacznie mniej intensywnego niż w ł ożony w przygotowanie takiej odpo-
wiedzi.
W konkluzji przytoczono także wyrok Wojewódzkiego Są du Admini-
stracyjnego w Poznaniu z 7 marca 2013 roku13: „W sytuacji, w której nieu-
dzielenie informacji publicznej przetworzonej nastę puje z powodu niewykaza-nia, że jest to szczególnie istotne dla interesu publicznego, należ y wydać
decyzję o odmowie udzielenia informacji. »Odmowa« pozytywnego za ł atwienia
wniosku nie może nastę pować poprzez decyzję umarzającą postę powanie. (…)
w przypadku ustalenia, że nie zachodzą przes ł anki określone w art. 3 ust. 1 pkt
11 II SAB/Po 123/13.
12 I OSK 89/13.13 II SA/Po 1060/12.
20
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
22/91
Przebieg badań
1 u.d.i.p., organ powinien wydać decyzję o odmowie udzielania informacji pu-
blicznej”.
Dane, o które wnioskowano w toku badań , zdecydowanie nie mo
żna
uznać za informację przetworzoną , gdyż wynikają wprost z odpowiednich
dokumentów, które nie mają nawet charakteru archiwalnego. W tej sytu-
acji należy stosować przepis art. 2.2 ustawy o dostępie do informacji pu-
blicznej – „Od osoby wykonującej prawo do informacji publicznej nie wolno
żądać wykazania interesu prawnego lub faktycznego”.
Operacji przeniesienia informacji na papier i przes ł ania do wnioskują cego
nie można traktować jako przetworzenia lecz jako przekszta ł cenie14.
Brak możliwości odpowiedzi na pytania ankietowe urzędnicy t ł uma-czyli również rozpoczynają cym się w ł aśnie procesem wdrożenia Polityki
bezpieczeństwa i trwają cą inwentaryzacją na potrzeby opracowywanej
analizy ryzyka (Starostwo Powiatowe w Augustowie). W badaniach cho-
dzi ł o jednak o ustalenie stanu faktycznego na dzień z ł ożenia wniosku, nie
zaś o efekty, jakie w przysz ł ości być może zostaną osią gnięte.
Jeden z urzędników uzna ł , że nie musi udzielić odpowiedzi, powo ł ują c się
na przepisy § 23: „Systemy teleinformatyczne podmiotów realizujących zada-nia publiczne funkcjonujące w dniu wejścia w ż ycie rozporządzenia na pod-
stawie dotychczas obowiązujących przepisów należ y dostosować do wymagań ,
o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich
pierwszej istotnej modernizacji przypadającej po wejściu w ż ycie rozporzą-
dzenia”.
Urzą d, który reprezentowa ł , od dnia wejścia w życie KRI do dnia z ł ożenia
wniosku nie dokona ł żadnej istotnej modernizacji. Pomylony zosta ł w tym
przypadku wymóg dostosowania systemów informatycznych do przepisówKRI z obowią zkiem udzielenia informacji publicznej. Badania, a tym sa-
mym pytania zawarte w ankiecie, mia ł y na celu między innymi odpo-
wiedź na pytanie o stopień przygotowania urzędu.
14 Ustawa o dostę pie do informacji publicznej: komentarz , Wydawnictwo Uniwersytetu Wro-c ł awskiego, Wroc ł aw 2002, s. 32.
21
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
23/91
Przemysław Jatkiewicz
W rezultacie wszystkich zastrzeżeń i odmów, z 339 respondentów od-
powiedzi udzieli ł o jedynie 254. Zdecydowano się więc na wniesienie za-
żalenia na nieza
ł atwienie sprawy w terminie – na podstawie art. 37 Ko-
deksu postępowania administracyjnego15 – do Samorzą dowych Kolegiów
Odwo ł awczych, odpowiednich dla poszczególnych urzędów. Treść zażale-
nia stanowi za łą cznik nr 2. Zażalenia, podpisane przez Dyrektor Gene-
ralną Zarzą du G ł ównego Polskiego Towarzystwa Informatycznego, sk ł a-
dane by ł y za pośrednictwem urzędów, których dotyczy ł y.
Spora liczba respondentów zareagowa ł a niemal natychmiast, dzwo-
nią c i proszą c o wycofanie pisma, obiecują c jednocześnie niezw ł oczne
za ł atwienie sprawy. Rozwią zanie takie by ł o efektem oczekiwanymprzez prowadzą cych badania i pozwoli ł o na uzyskanie kolejnych 44 od-
powiedzi. Pozostali respondenci rozpatrywali sprawy we w ł asnym za-
kresie lub prawid ł owo przekazywali je do Samorzą dowych Kolegiów Od-
wo ł awczych. Kolegia te wzywa ł y Polskie Towarzystwo Informatyczne do
przedstawienia upoważnienia Dyrektor do reprezentowania Towarzy-
stwa oraz okazania dowodu nadania pisma, z uwagi na oświadczenia
urzędów o braku przedmiotowej korespondencji. Wskazywa
ł y te
ż na Wo- jewódzkie Są dy Administracyjne jako jednostki w ł aściwe do rozpatrywa-
nia dalszych zażaleń , w tym na bezczynność urzędów.
Ponieważ celem by ł o ukończenie badań , nie zaś wik ł anie się w spory
prawne mogą ce je w sposób znaczą cy opóźnić , podjęto decyzję o dopusz-
czeniu do umorzenia spraw i wykonaniu dodatkowego losowania uzu-
pe ł niają cego pulę respondentów.
Na rysunku 1 pokazano procentowy rozk ł ad udzielenia odpowiedzi
w efekcie podjętych dzia ł ań.
15 Dz.U. 1960 nr 30 poz. 168.
22
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
24/91
Przebieg badań
Rys. 1. Procentowy rozkład udzielenia odpowiedzi
75%
13%
12%Ankiety w odpowiedzi na
wniosek
Ankiety w odpowiedzi na
zażalenie
Brak odpowiedzi
23
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
25/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
26/91
4 Wyniki badań
4.1. Stosowanie norm PN-ISO/IEC
Badane urzędy zakupi ł y łą cznie 31 norm wyszczególnionych w KRI, przy
czym najmniejszym zainteresowaniem cieszy ł
a się norma PN-ISO/IEC 20000,dotyczą ca zarzą dzania us ł ugami realizowanymi przez systemy teleinfor-
matyczne. Zdecydowana większość instytucji tj. 309, co stanowi ponad
91% badanych, nie zakupi ł a ani jednej normy. W zakresie stosowania
odpowiednich norm PN-ISO/IEC dokonano 2 973 szkolenia przypadają -
ce na pojedynczego urzędnika, co stanowi ok. 11% zatrudnionych (nie-
którzy urzędnicy byli jednak szkoleni z kilku norm).
Szczegó ł owe dane odnośnie szkoleń zosta ł y zaprezentowane w tabeli 7.
Tabela 7. Szkolenia w zakresie stosowania norm PN-ISO/IEC
Norma Liczba przeszkolonych Liczba urzędów realizujących szkolenia
PN-ISO/IEC 20000 106 6
PN-ISO/IEC 27001 2 564 23
PN-ISO/IEC 27005 160 11
PN-ISO/IEC 24762 143 6
Jedynie 7 urzędów przeprowadzi ł o audyt na zgodność z normą PN-
ISO/IEC 20000. Audyt dotyczą cy normy PN-ISO/IEC 27001 wykona ł o tro-
chę więcej organizacji, tj. 24. Znacznie mniej uzyska ł o certyfikat – odpo-
wiednio 3 i 10 urzędów – przy czym oba posiada ł jedynie Urzą d Miasta
Bydgoszczy oraz Urzą d Gminy Świdwin.
25
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
27/91
Przemysław Jatkiewicz
4.2. Inwentaryzacja aktywów teleinformatycznych
Wykonanie inwentaryzacji aktywów teleinformatycznych zadeklarowa-
ł o 159 urzędów (46,9%) przy czym aktualną , nie starszą niż dwa lata,
posiada ł y 103 jednostki (30,38%). Pomimo deklaracji, 46 urzędów nie
potrafi ł o podać liczby aktywów, zaś kolejnych 40 poda ł o liczbę mniejszą
od sumy aktywnych węz ł ów sieci i baz danych. Dodatkowo 5 następ-
nych określi ł o liczbę aktywnych węz ł ów sieci znaczą co mniejszą niż
liczba pracowników. Szczegó ł y zosta ł y przedstawione na rysunku 2.
Ponieważ niemal każdy z pracowników urzędu wykonuje pracę biu-rową i dysponuje zapewne komputerem, wydaje się ma ł o prawdopo-
dobne, by liczba aktywnych węz ł ów sieci (komputery, laptopy, prze-
łą czniki, routery, serwery, drukarki sieciowe) stanowi ł a 90% lub mniej
liczby pracowników urzędu. Reasumują c, wiarygodną i aktualną inwen-
taryzację posiada ł o jedynie 3,54% badanych organizacji.
Rys. 2. Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach
0
20
40
60
80
100
120
140
160
180
Brak
inwentaryzacji
Nieaktualna
inwentaryzacja
Niewiarygodna
inwentaryzacja
Aktualna i
wiarygodna
inwentaryzacja
180
56
91
12
26
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
28/91
Wyniki badań
4.3. Analiza ryzyka
Niewiele instytucji opracowa ł o analiz
ę ryzyka. Z deklaracji wynika,
że
zrobi ł y to 81 jednostki (23,89%). Jedna natomiast (Urzą d Gminy Mińsk
Mazowiecki) odmówi ł a odpowiedzi, powo ł ują c się na Politykę bezpie-
czeństwa informacji. Jedynie 61 analiz można uznać za aktualne.
Rodzaje zastosowanych metodyk zosta ł y zaprezentowane na rysunku 3.
Rys. 3. Rodzaje zastosowanych metodyk
Znamiennym jest, że respondenci nie umieli ustalić bą dź nie znali nazw
użytych metodyk. Wymieniali następują ce nazwy, których większość , ozna-
czonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:
• burza mózgów (Starostwo Powiatowe w Wadowicach),
• FMEA,
• Prince 2 (Starostwo Powiatowe w Siedlcach),
• arytmetyczna (Starostwo Powiatowe w Kościerzynie),
• CMMI for Services v. 1.3,
19%
25%55%
1%
ilościowa jakościowa mieszana oparta o rywalizację
27
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
29/91
Przemysław Jatkiewicz
• PMI (Urzą d Gminy Niemce),
• CRAMM,
•
delficka (Urzą
d Miasta Bydgoszcz),• indukcyjna (Urzą d Miasta i Gminy Twardogóra, Urzą d Gminy
w Liskowie),
• MEHARI,
• ręczna (Urzą d Miejski w Łomży).
Większość z nich ma bardzo luźny zwią zek z metodykami wykonania
analiz ryzyka i dotyczy raczej zarzą dzania projektami lub metod ba-
dawczych. Pomimo ewidentnego braku wiedzy, tylko 11 badanych jed-
nostek skorzysta ł o z pomocy firm zewnętrznych. Zauważono także, iż co najmniej 7 analiz ryzyka nie by ł o poprzedzonych inwentaryzacją ak-
tywów teleinformatycznych.
4.4. Rejestr incydentów
Ponad po ł owa (53,69%) respondentów zadeklarowa ł a prowadzenie reje-
stru incydentów, jednakż
e 134 pozostają
puste, gdyż
nie zarejestrowanow nim żadnego incydentu. Urzą d Gminy Nowy Targ uzna ł natomiast, iż
udzielenie informacji dotyczą cych prowadzenia rejestru incydentów
stanowi zagrożenie informacji.
Szczegó ł owe informacje zosta ł y zaprezentowane na rysunku 4 na na-
stępnej stronie.
W roku 2014 zarejestrowano łą cznie 11 375 incydentów. Mediana in-
cydentów (zarejestrowanych w prowadzonych, niepustych rejestrach)
wynosi zaś 4. Taka niska wartość mediany w stosunku do dużej liczbyincydentów wynika ze sposobu rejestracji prowadzonej przez Urzą d
Marsza ł kowski Województwa Podkarpackiego, który rejestruje zda-
rzenia z systemów antywirusowych czy IDS/IPS (Intrusion Detection Sys-
tem / Intrusion Prevention System). Instytucja ta w roku 2014 zarejestrowa-
ł a 11 000 incydentów. Cześć z incydentów by ł o na tyle poważnych, iż 13
urzędów zg ł osi ł o je do Rzą dowego Zespo ł u Reagowania na Incydenty
Komputerowe CERT, Agencji Bezpieczeństwa Wewnetrznego lub proku-
ratury.
28
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
30/91
Wyniki badań
Warto zauważyć , że 3 urzędy (miasta Jaworzno, miasta Marki i gmi-
ny Łuków) dokona ł y takich zg ł oszeń , lecz nie prowadzą rejestru incy-
dentów.
Rys. 4. Rejestry prowadzone przez badane instytucje
4.5. Polityka bezpieczeństwa
Oko ł o 12% urzędów (40 jednostek) nie posiada Polityki bezpieczeństwa
informacji. Urzą d Gminy Narewka – w przes ł anym piśmie – uważa, że
nie ma potrzeby jej opracowania. Pozosta ł e ustanowi ł y ją w bardzo
różnym czasie, co zosta ł o pokazane na rysunku 5. Spośród wspomnia-
nych 40 instytucji, 33 posiada zarejestrowane zbiory danych osobo-
wych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony
Danych Osobowych (GIODO).
46,02%
39,53%
14,16%
0,29%
Brak rejestru
Rejestr pusty lub
nieaktualizowany
Rejest aktualny
Odmowa odpowiedzi
29
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
31/91
Przemysław Jatkiewicz
Rys. 5. Liczba ustanowień Polityk bezpieczeństwa w latach 1997-2015
Ostatnie zmiany w ustawie z 29 sierpnia 1997 roku o ochronie danych
osobowych16 , wniesione ustawą z 7 listopada 2014 roku o u ł atwieniu wy-
konywania dzia ł alności gospodarczej, obowią zują od 1 stycznia 2015 ro-
ku. Dlatego też należy uznać , iż wszystkie polityki wydane przed ro-
kiem 2014 i nieaktualizowane w latach 2014-2015 są już nieaktualne.
Biorą c powyższe pod uwagę można stwierdzić , że liczba aktualnych
polityk wynosi 114 sztuk. Na rysunku 6 przedstawiono liczbę ostatnich
aktualizacji Polityk bezpieczeństwa badanych jednostek w latach 1997-
2015. Zauważono także, iż część respondentów (28) poda ł o tą samą datę ustanowienia i aktualizacji. Przy formu ł owaniu wniosków traktowano
takie przypadki jako nieaktualizowane. Pomimo że 205 ankietowanych
deklarowa ł o roczny lub krótszy okres aktualizacji, to ponad 39% z nich
aktualizowa ł o swoje Polityki po co najmniej dwuletnim okresie czasu.
16 Dz. U. 2014 r. poz. 1182.
12
11
31
2120
17
3533
16
21
33
29
32
15
9
1 9 9 7
1 9 9 8
1 9 9 9
2 0 0 0
2 0 0 1
2 0 0 2
2 0 0 3
2 0 0 4
2 0 0 5
2 0 0 6
2 0 0 7
2 0 0 8
2 0 0 9
2 0 1 0
2 0 1 1
2 0 1 2
2 0 1 3
2 0 1 4
2 0 1 5
30
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
32/91
Wyniki badań
Rys. 6. Liczba aktualizacji Polityk bezpieczeństwa w latach 1997-2015
Z przeprowadzonych badań wynika, że prawie po ł owa urzędów (48,08%)
przeprowadzi ł a audyt swojej Polityki bezpieczeństwa. Większość z nich
(86), wykona ł a go w ł asnymi si ł ami, zaś 77 posi ł kowa ł o się firmami ze-
wnętrznymi.
Jak widać na rysunku 7, nowelizacja ustawy o ochronie danych oso-
bowych z roku 2014 stymulowa ł a przeprowadzenie audytów. Znamien-
nym jest, iż 5 organizacji przeprowadzi ł o audyt, lecz nie posiada Polityki
bezpieczeństwa. Wszystkie zamieści ł y informację o trwają cych pracach nad jej ustanowieniem, choć w przypadku Urzędu Miasta i Gminy w Zdu-
nach, biorą c pod uwagę datę audytu, prace te trwają już oko ł o 6 lat.
1 1 1 1 24 4
2
6
16
21
36
69
31
2000 2001 2003 2004 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
31
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
33/91
Przemysław Jatkiewicz
Rys. 7. Przeprowadzone w latach 2005-2015 audyty Polityki bezpieczeństwa informacji
4.6. Zasoby ludzkie
Większość urzędów (93,81%) zatrudnia informatyków, jednakże nie
wszyscy z nich posiadają wykszta ł cenie techniczne.
Dane odnośnie wykszta ł cenia technicznego s ł uż b IT przedstawiono
w tabeli 8.
Tabela 8. Kadra IT badanych jednostek
Wykształcenie Liczba informatyków Liczba urzędów
Brak służb IT 0 21
Wyższe techniczne 406 241
Inne 190 77
Razem (wykształcenie techniczne i inne) 596 318
0
10
20
30
40
50
60
70
80
90
100
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
0 0
0 1 1
04 8
12
40
11
1 1
1 1 0
0
0 49
57
12
wykonawca wewnętrzny wykonawca wewnętrzny
32
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
34/91
Wyniki badań
Nieznacznie mniej (88,79%) jednostek posiada administratora bezpie-
czeństwa informacji. Znacznie mniejsza liczba urzędów (50,74%) za-
trudnia audytorów wewnętrznych. Struktur
ę wykszta
ł cenia osób pe
ł ni
ą cych
omawiane funkcje przedstawia rysunek 8. Brak oznacza nieobsadzone
stanowisko. Nieznajomość wykszta ł cenia administratora bezpieczeń-
stwa czy audytora wewnętrznego świadczy zapewne o tym, że czynno-
ści przypisane tym funkcjom wykonują wynajęte osoby.
Rys. 8. Wykształcenie osób pełniących funkcje administratora bezpieczeństwa infor-
macji i audytora wewnętrznego
Brak audytora wewnętrznego z wykszta ł ceniem średnim zwią zany jest
z wymaganiami ustawy z 27 sierpnia 2009 roku o finansach publicz-
nych:
„ Art. 286. 1. Audytorem wewnętrznym może być osoba, która:
1) ma obywatelstwo państwa cz ł onkowskiego Unii Europejskiej lub in-
nego państwa, którego obywatelom, na podstawie umów międzyna-
0
50
100
150
200
250
382 24
135 140
167
20
66104
ABI Audytor wew.
33
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
35/91
Przemysław Jatkiewicz
rodowych lub przepisów prawa wspólnotowego, przys ł uguje prawo
podjęcia zatrudnienia na terytorium Rzeczypospolitej Polskiej;
2) ma pe ł ną zdolno
ść do czynno
ści prawnych oraz korzysta z pe
ł ni praw
publicznych;
3) nie by ł a karana za umyślne przestę pstwo lub umyślne przestę pstwo
skarbowe;
4) posiada wyższe wykszta ł cenie;
5) posiada nastę pujące kwalifikacje do przeprowadzania audytu we-
wnętrznego:
a) jeden z certyfikatów: Certified Internal Auditor (CIA), Certified Gov-
ernment Auditing Professional (CGAP), Certified Information Sys-tems Auditor (CISA), Association of Chartered Certified Account-
ants (ACCA), Certified Fraud Examiner (CFE), Certification in
Control Self Assessment (CCSA), Certified Financial Services Audi-
tor (CFSA) lub Chartered Financial Analyst (CFA), lub
b) z ł oż y ł a, w latach 2003–2006, z wynikiem pozytywnym egzamin na
audytora wewnętrznego przed Komisją Egzaminacyjną powo ł aną
przez Ministra Finansów, lubc) uprawnienia bieg ł ego rewidenta, lub
d) dwuletnią praktykę w zakresie audytu wewnętrznego i legitymuje się
dyplomem ukończenia studiów podyplomowych w zakresie audytu
wewnętrznego, wydanym przez jednostkę organizacyjną , która w dniu
wydania dyplomu by ł a uprawniona, zgodnie z odrębnymi ustawami,
do nadawania stopnia naukowego doktora nauk ekonomicznych lub
prawnych”17.
4.7. Procedury
Najwięcej procedur opracowanych i wdrożonych w urzędach dotyczy
eksploatacji. Znacznie mniejsza liczba zwią zana jest z wdrożeniem no-
wych aktywów, wycofaniem aktywów z eksploatacji oraz testowaniem.
17 Dz.U. 2009 nr 157 poz. 1240.
34
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
36/91
Wyniki badań
Szczegó ł owe informacje zosta ł y zaprezentowane w tabeli 9. Wynika
z niej, że w badanej grupie istnieją instytucje, które nie mają ani jednej
z co najmniej kilku wyszczególnionych grup procedur. Odpowiedniedane zosta ł y przedstawione na rysunku 9. Ukazuje on procent urzędów,
które mają przynajmniej po jednej procedurze w każdej z grup.
Tabela 9. Procedury wdrożone w badanych urzędach
Procedury
Wdrażanie akty-wów
Eksploatacja
aktywów
Testowanie
aktywów
Wycofanie
aktywów
Liczba 157 68 113 139
Średnia liczbaprzypadającana pojedynczy
urząd
0,46 2,03 0,33 0,41
Maksymalna
liczba20 83 16 19
Liczba organi-zacji bez wdro-
żonej procedu-ry
249 205 278 246
Jak widać na rysunku 9, ponad po ł owa (56%) instytucji nie posiada żad-
nej procedury, natomiast przynajmniej jedną w każdej grupie posiada
tylko 12%.Największa liczba procedur opracowanych przez urzędy, dotyczy ł a
eksploatacji aktywów. Najmniejsza liczba zwią zana by ł a z testowaniem
aktywów. Szczegó ł owe liczby zosta ł y zaprezentowane na rysunku 10.
35
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
37/91
Przemysław Jatkiewicz
Rys. 9. Grupy procedur w badanych instytucjach
Rys. 10. Liczba procedur opracowanych przez badane instytucje
56%
13%
8%
11%
12%
0 procedur
1 grupa procedur
2 grupy procedur
3 grupy procedur
4 grupy procedur
0
100
200
300
400
500
600
700
Wdrażanienowych aktywów
Eksploatacja
aktywów
Wycofanie
aktywów
Testowanie
aktywów
157
689
139113
36
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
38/91
Wyniki badań
4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa
Sumaryczna ocena, dokonana przez respondentów i umieszczona w tabeli10, jest zbliżona co do wartości dla każdego z przedstawionych w pytaniu
nr 7 ankiety problemów.
Tabela 10. Sumaryczna ocena problemów związanych z ustanowieniem i wdrożeniemPolityki bezpieczeństwa
Problem Punktacja
Wiedza, doświadczenie 827
Finanse 920
Opór czynnika ludzkiego 855
Respondenci najczęściej przyznawali maksymalną liczbę punktów pro-
blemom finansowym, co zosta ł o pokazane w tabeli 11. Ograniczone
środki finansowe wp ł ywają na niedostateczną liczbę szkoleń oraz dzia-
ł ań , mają cych na celu nie tylko pozyskanie wiedzy i kompetencji, lecztakże podniesienie świadomości znaczenia ochrony informacji i wystę-
pują cych zagrożeń.
Tabela 11. Liczba instytucji przyznających maksymalną punktację dla poszczególnych pro-blemów
Problem Liczba instytucji
Wiedza, doświadczenie 36
Finanse 82
Opór czynnika ludzkiego 52
Urzędnicy dodatkowo wymienili następują ce, nieskategoryzowane pro-
blemy:
• sporzą dzanie audytów bezpieczeństwa,
•
brak czasu,
37
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
39/91
Przemysław Jatkiewicz
• problemy sprzętowe,
• pracoch ł onność ,
•
braki kadrowe,• sposób przep ł ywu danych pomiędzy systemami,
• nieprecyzyjne, niejasne, niespójne przepisy oraz ich interpretacja,
• nadmiar obowią zków,
• duża liczba zadań ,
• brak zainteresowania pracowników.
4.9. Zgodność z WCAG 2.0
Można uznać , iż nie więcej niż 48 portali BIP badanych jednostek
(14,16%) spe ł nia ł o wymagania zgodności z WCAG 2.0. Prawie wszystkie
posiada ł y wręcz ascetyczną formę. Do wyją tków należy portal Gminy
Kornowac, którego stronę g ł ówną pokazuje rysunek 11.
Rys. 11. Biuletyn Informacji Publicznej Gminy Kornowac
38
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
40/91
5 Weryfikacja hipotez
5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami
realizowanymi za pomocą systemów teleinformatycznych zgodnie
z przepisami KRI
Hipoteza nr 1 znalaz ł a swoje potwierdzenie w wynikach badań. Nawet
pojedyncze kryteria weryfikacji nie zosta ł y spe ł nione przez większość
organizacji, co zosta ł o uwidocznione w tabeli 12.
Tabela 12. Zestawienie ilościowe i procentowe jednostek spełniających pojedyncze kryteria
weryfikacji hipotezy nr 1
L.p. Kryterium Liczba jednostek % badanej próby
1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88
2.Przeszkolenie przynajmniej 1 pracownika
w zakresie wymagań PN-ISO/IEC 200006 1,77
3.Zakup przynajmniej 1 normy PN-ISO/IEC
200008 2,36
4. Audyt na zgodność z PN-ISO/IEC 20000 7 2,06
5. Przynajmniej 1 udokumentowana proceduradotycząca wdrażania aktywów 90 26,55
6.Przynajmniej 1 udokumentowana procedura
dotycząca eksploatacji aktywów134 39,53
7.Przynajmniej 1 udokumentowana procedura
dotycząca wycofania aktywów93 27,43
8.Przynajmniej 1 udokumentowana procedura
dotycząca testowania aktywów61 17,99
39
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
41/91
Przemysław Jatkiewicz
Najwięcej jednostek (39,53%) posiada przynajmniej 1 udokumentowaną
procedurę dotyczą cą eksploatacji aktywów teleinformatycznych. Jed-
nakż
e komplet procedur funkcjonuje zaledwie w 42 urzę
dach.Tabela 13 przedstawia zestawienie ilościowe i procentowe jednostek
spe ł niają cych łą czne kryteria weryfikacji hipotezy nr 1.
Tabela 13. Zestawienie ilościowe i procentowe jednostek spełniających łączne kryteria
weryfikacji hipotezy nr 1
L.p. Kryterium Liczba jednostek % badanej próby
1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88
2.
Przeszkolenie przynajmniej 1 pracownika w
zakresie stosowania normy PN-ISO/IEC 20000
lub zakup normy PN-ISO/IEC 20000 oraz prze-
prowadzenie audytu na zgodność z PN-ISO/IEC20000
5 1,47
3.
Posiadanie przynajmniej po 1 udokumento-
wanej procedurze dotyczącej wdrażania, eks-ploatacji, wycofywania i testowania aktywów
teleinformatycznych
42 12,39
5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządzania usłu-
gami realizowanymi za pomocą systemów teleinformatycznych jest zależna
od wielkości podmiotu, liczby i wykształcenia osób związanych z IT
Hipoteza nr 2 również znalaz ł a swoje potwierdzenie. Im większa orga-nizacja, tym większy stopień wdrożenia przepisów KRI zwią zanych z za-
rzą dzaniem us ł ugami realizowanymi za pomocą systemów teleinforma-
tycznych, co zosta ł o pokazane w tabeli 14.
Należy jednak zauważyć , że nawet w przypadku dużych instytucji,
jakimi są Urzędy Marsza ł kowskie, Urzędy Miejskie w miastach na pra-
wach powiatu oraz Urzędy Dzielnicy (Warszawa), średnia liczba punk-
tów stanowi jedynie 36,83% wszystkich możliwych do przyznania.
40
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
42/91
Weryfikacja hipotez
Tabela 14. Średni stopień wdrożenia przepisów KRI związanych z zarządzaniem usługami
realizowanymi za pomocą systemów teleinformatycznych
Wielkość instytucji Liczba instytucji Liczba punktów Średnia liczba punktów
Małe 253 246 0,97
Średnie 74 151 2,04
Duże 12 53 4,42
Liczba pracowników dzia ł u IT ma bezpośrednie prze ł ożenie na stopień
wdrożenia przepisów KRI zwią zanych z zarzą dzaniem us ł ugami reali-zowanymi za pomocą systemów teleinformatycznych.
Na rysunku 12 zaznaczono kropkami liczbę punktów przyznanych
wed ł ug zasad przedstawionych w tabeli 2 oraz niebieską linię trendu.
Te same oznaczenia użyto na rysunku 13, odnoszą cym się do liczby
pracowników zwią zanych z IT z wykszta ł ceniem wyższym, technicz-
nym.
Rys. 12. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługamirealizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT
0
2
4
6
8
10
12
0 2 4 6 8 10 12 14 16 18
Ś r e d n i a l i c z b a p u n k t ó w
Liczba pracowników IT
41
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
43/91
Przemysław Jatkiewicz
Rys. 13. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami
realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników ITz wykształceniem wyższym technicznym
5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo
systemu zarządzania bezpieczeństwem informacji
Hipoteza nr 3, jak wynika z danych zamieszczonych w tabeli 15, jest
prawdziwa. Większość badanych podmiotów nie wdroży ł a prawid ł owo
systemu zarzą dzania bezpieczeństwem informacji.
Tabela 15. Zestawienie jednostek spełniających kryteria weryfikacji hipotezy nr 3
L.p. Kryterium Liczba jednostek % badanej próby
1 Certyfikat zgodności z ISO 27001 11 3,24
2 Przeszkolenie przynajmniej 1 pracownika lub
zakup normy ISO 27001 oraz przeprowadzenie
audytu na zgodność z ISO 27001
19 5,60
3.1 Aktualna inwentaryzację aktywów teleinfor-matycznych
12 3,54
3.2 Aktualna analiza ryzyka 61 17,99
3.3 Aktualny rejestr incydentów 48 14,16
3.4 Aktualna Polityka bezpieczeństwa informacjioparta o ISO 27001
5 1,47
0
2
4
6
8
10
12
0 2 4 6 8 10 12 14 16 18
Ś r e d n i a l i c z b a p
u n k t ó w
Liczba pracowników IT z wykształceniem technicznym
42
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
44/91
Weryfikacja hipotez
5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem
informacji zależy od wielkości podmiotu, liczby i wykształcenia osób
związanych z IT
Hipotezę nr 4 także należy uznać za potwierdzoną . Jak wynika z danych
zaprezentowanych w tabeli 16, większe jednostki w podwyższonym
stopniu wdroży ł y system zarzą dzania bezpieczeństwem informacji.
Nawet średni stopień wdrożenia dla jednostek dużych nie by ł bliski
maksymalnej możliwej do przyznania liczbie punktów, wynoszą cej 57.
Ponad 14% przebadanych jednostek posiada ł o stopień wdrożenia o war-
tości 0, a nawet niższej.
Tabela 16. Średni stopień wdrożenia systemu zarządzania bezpieczeństwem informacji
Wielkość instytucji Liczba instytucji Liczba punktów Średnia Liczba punktów
Małe 253 1300 5,14
Średnie 74 1136 15,35
Duże 12 394 32,83
Zarówno liczba, jak i wykszta ł cenie pracowników zwią zanych z IT, ma
bezpośrednie prze ł ożenie na stopień wdrożenia systemu zarzą dzania
bezpieczeństwem informacji, co zosta ł o pokazane na rysunkach 14 i 15.
Za pomocą kropek oznaczono średni stopień wdrożenia dla określo-
nych liczebności pracowników, zaś niebieska, cią g ł a linia jest linią tren-
du. Warto zauważyć , iż zerowa liczba pracowników IT zwią zana za-
pewne z outsourcingiem nie zapewnia bezpieczeństwa systemu.
43
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
45/91
Przemysław Jatkiewicz
Rys. 14. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacjiod liczby pracowników IT
Rys. 15. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji
od liczby pracowników IT z wykształceniem technicznym
0
10
20
30
40
50
60
0 5 10 15 20 25 30 35
Ś r e d n i s t o p i e ń w
d r o ż e n i a
Liczba pracowników IT
0,00
10,00
20,00
30,00
40,00
50,00
60,00
70,00
0 2 4 6 8 10 12 14
Ś r e d n
i s t o p i e ń w
d r o ż e n i a
Liczba pracowników IT z wykształceniem technicznym
44
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
46/91
Weryfikacja hipotez
5.5. Hipoteza 5: Większość systemów teleinformatycznych służących do pre-
zentacji zasobów informacji badanych podmiotów nie jest zgodnych ze
standardem WCAG 2.0
Hipoteza nr 5 zosta ł a potwierdzona. Większość (przynajmniej 291, co
stanowi 85,84% poddanych analizie) systemów teleinformatycznych
badanych podmiotów s ł użą cych do prezentacji zasobów informacji nie
jest zgodnych ze standardem WCAG 2.0.
5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swo-
ich systemów teleinformatycznych służących do prezentacji zasobów in-formacji ze standardem WCAG 2.0
Hipoteza nr 6 nie zosta ł a potwierdzona. Najmniejszą dba ł ość o zgod-
ność portali BIP z wytycznymi WCAG 2.0 przejawiają instytucje średniej
wielkości, czyli urzędy miejskie i powiatowe. Szczegó ł owe dane przed-
stawione zosta ł y w tabeli 17.
Tabela 17. Instytucje, których portale BIP spełniają wytyczne WCAG 2.0
Wielkość instytucji Liczba instytucjiLiczba BIP zgodnych
z WCAG 2.0
% BIP zgodnych
z WCAG 2.0
Mała 253 38 15,02
Średnia 74 7 9,46
Duża 12 3 25,00
5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwatnych
kwalifikacji kadry badanych jednostek
Biorą c pod uwagę za ł ożony sposób weryfikacji w oparciu o odpowiedzi
na pytanie nr 7 ankiety, w którym respondenci przyznają punkty od 0 do
5 dla czynników, które stanowi ł y problem przy ustanowieniu i wdroże-
45
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
47/91
Przemysław Jatkiewicz
niu Polityki bezpieczeństwa oraz dane z tabeli 11, należy uznać hipotezę
nr 7 za nieprawdziwą .
Jednakż
e pozosta ł e dane odnosz
ą ce si
ę do wykszta
ł cenia informaty-
ków, administratorów bezpieczeństwa czy audytorów wewnętrznych,
jak również braku szkoleń czy zakupu norm pozwalają cych na samo-
dzielne dokszta ł canie, w powią zaniu z oczywistymi b łędami w określe-
niu metodyk czy nieznajomością terminologii branżowej, zdaje się pod-
ważać jej prawdziwość.
Zaledwie 59% zatrudnionych przez urzędy informatyków posiada
wykszta ł cenie wyższe techniczne. Chociaż ponad 82% administratorów
bezpieczeństwa informacji posiada wykszta ł cenie wyższe techniczne, to jednakże aż 40 jednostek nie powo ł a ł a go, co zgodnie z ustawą o ochro-
nie danych osobowych, sprawia, iż funkcję tą piastuje kierownik organi-
zacji, a więc wójt, burmistrz czy prezydent miasta.
46
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
48/91
6 Wnioski i spostrzeżenia
Jednostki samorzą dowe w większości nie podjęł y adekwatnych starań
odnośnie wdrożenia systemu zarzą dzania bezpieczeństwem informacji.
Nie projektują , nie wdrażają oraz nie eksploatują systemów teleinforma-
tycznych z uwzględnieniem ich funkcjonalno
ści, niezawodno
ści, u
żywal-ności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu
norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.
Nie można jednak z góry za ł ożyć , że ł amią w ten sposób prawo.
Wspomniane obowią zki zosta ł y narzucone instytucjom publicznym
poprzez przepisy rozdzia ł u IV KRI. Nieokreślony jednak zosta ł termin
ich wdrożenia, gdyż w § 23 KRI czytamy: „Systemy teleinformatyczne pod-
miotów realizujących zadania publiczne funkcjonujące w dniu wejścia w ż ycie
rozporządzenia na podstawie dotychczas obowiązujących przepisów należ ydostosować do wymagań , o których mowa w rozdziale IV rozporządzenia, nie
później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wej-
ściu w ż ycie rozporządzenia”.
Rozporzą dzenie nie definiuje pojęcia „istotna modernizacja”, co w po łą -
czeniu z niskim tempem wymiany systemów informatycznych w insty-
tucjach, może spowodować iż faktyczne wejście w życie wspomnianych
przepisów będzie odwlekane jeszcze przez d ł ugie lata. Pomimo, że roz-
porzą dzenie wydano w roku 2012, nadal tylko nieliczne jednostki samo-
rzą dowe podjęł y starania zwią zane z wdrożeniem przepisów KRI.
Wyją tkiem jest przepis § 19 KRI – spe ł nienie wymagań Web Content
Accessibility Guidelines (WCAG 2.0) na poziomie AA przez systemy
teleinformatyczne, eksploatowane przez podmioty realizują ce zadania
publiczne i s ł użą ce prezentacji zasobów informacji.
Termin jego wdrożenia zosta ł ustalony w § 22 o treści: „Systemy telein-
formatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu
47
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
49/91
Przemysław Jatkiewicz
wejścia w ż ycie rozporządzenia należ y dostosować do wymagań określonych
w § 19, nie później niż w terminie 3 lat od dnia wejścia w ż ycie niniejszego
rozporządzenia”.
Przytoczony przepis mylnie przywo ł uje rekomendacje jako wymaga-
nia. W literaturze spotyka się też traktowanie WCAG jako standardu.
Faktycznie sta ł y się one standardem 15 października 2012 roku jako
norma ISO/IEC 40500:2012, a więc już po publikacji KRI.
Pomimo tej nieścis ł ości, już pobieżna inspekcja portali BIP badanych
instytucji wykaza ł a, że podjęł y one dzia ł ania dostosowują ce je do wy-
tycznych WCAG 2.0. Zazwyczaj posiadają funkcje zwiększają ce kontrast
i wielkość czcionki, jednak są to jedynie 2 z 35 wytycznych. Zaobserwo-wano również bardzo niekorzystny trend, polegają cy na tworzeniu
osobnych portali dla osób niepe ł nosprawnych, które zapewniają zgod-
ność z WCAG 2.0. Zdaniem autora jest to objaw dyskryminacji niepe ł no-
sprawnych.
Widać jednak, że jednoznaczne określenie terminu wdrożenia stymu-
lują co wp ł ywa na podjęcie dzia ł ań. Z tego też względu zapis § 22 należy
uznać za szkodliwy. Nie skorzystano z mo
żliwo
ści jego skorygowaniaprzy okazji wydania Rozporzą dzenia Rady Ministrów z 27 listopada
2014 roku zmieniają ce rozporzą dzenie w sprawie Krajowych Ram Inter-
operacyjności, minimalnych wymagań dla rejestrów publicznych i wy-
miany informacji w postaci elektronicznej oraz minimalnych wymagań
dla systemów teleinformatycznych18.
Z niewiadomych względów przedk ł ada się ską diną d niezwykle waż-
ne zagadnienie dostępu do informacji osób niepe ł nosprawnych nad
bezpieczeństwo informacji i odpowiednie nią zarzą dzanie. Systemowizarzą dzania informacją poświęcono w KRI znaczną część rozdzia ł u IV.
Celem zawartych w nim przepisów by ł o określenie minimalnych wy-
magań zwią zanych z bezpieczeństwem informacji przetwarzanych przez
podmioty publiczne. Jednocześnie utworzono niejako furtkę pozwalają -
cą na odsuwanie w czasie ich stosowania.
18 Dz.U. z 2014 r. poz. 1671
48
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
50/91
Wnioski i spostrzeżenia
Jednostki samorzą dowe zdają sobie sprawę z niejasnej sytuacji, stą d
w ł aśnie niechęć do udzielania informacji opisana w części poświęconej
przebiegowi badań
. Dodatkowo brak nadzoru i kontroli, wytknięty ju
ż
przez Najwyższą Izbę Kontroli19 , w po łą czeniu z sygnalizowanymi w ba-
daniach barierami finansowymi, powodują iż wdrożenie przepisów KRI
będzie się przecią ga ł o.
Warto zauważyć , że dzia ł ania Generalnego Inspektora Ochrony Danych
Osobowych polegają ce na popularyzacji przepisów oraz kontroli ich prze-
strzegania przynoszą rezultaty. Niemalże wszystkie urzędy posiadają Poli-
tykę bezpieczeństwa dotyczą cą ochrony danych osobowych. Opublikowa-
ne 26 kwietnia 2013 roku oraz zaktualizowane 9 maja 2013 roku wspólnestanowisko resortu finansów oraz Ministerstwa Cyfryzacji i Administracji,
zawierają ce m.in. wytyczne dotyczą ce prowadzenia audytu wewnętrznego
bezpieczeństwa informacji przetwarzanych w systemie teleinformatycz-
nym przez komórkę audytu wewnętrznego, nie przynios ł o oczekiwanych
rezultatów20. Treść stanowiska przedstawiono w za łą czniku nr 3. Audyto-
rzy wewnętrzni zazwyczaj nie posiadają odpowiednich kompetencji. Tylko
38,82% z nich posiada wykszta ł
cenie wyż
sze techniczne, zaś 65,29% doko-na ł o analizy ryzyka, choć obowią zek corocznego jej wykonywania wynika
z ustawy z 27 sierpnia 2009 roku o finansach publicznych21 i wydanych na
jej podstawie rozporzą dzeń Ministra Finansów w sprawie audytu we-
wnętrznego oraz informacji o pracy i wynikach tego audytu.
Nie można nie doceniać wagi wspomnianej popularyzacji. Z prze-
prowadzonych badań wynika, że kompetencje urzędników odpowie-
dzialnych za funkcjonowanie systemów informatycznych stoją na ni-
skim poziomie. Świadczą o tym przytoczone przyk ł ady nieznajomościterminologii i metodyk. Zaobserwowano też mylną interpretację wy-
19 Wdrażanie wybranych wymagań dotyczą cych systemów teleinformatycznych, wy-miany informacji w postaci elektronicznej oraz krajowych ram interoperacyjności naprzyk ł adzie niektórych urzędów gmin miejskich i miast na prawach powiatu, NIKKAP-4101-002-00/2014, luty 2015.20 Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sekto-
ra Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie
bezpieczeństwa informacji.21 Dz.U. z 2013 r. poz. 885.
49
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
51/91
Przemysław Jatkiewicz
tycznych WCAG 2.0 zwią zaną z powierzchownym zapoznaniem się je-
dynie z g ł ównym dokumentem, bez materia ł ów dodatkowych, do któ-
rych się on odnosi.
Zauważyć należy, że sam Web Content Accessibility Guidelines jest
krótkim, 44 stronnicowym (po wydrukowaniu) dokumentem, który za-
wiera jednak odnośniki do następnych materia ł ów:
• How to Meet WCAG 2.0 — aktualna lista referencji WCAG 2.0;
• Understanding WCAG 2.0 — poradnik u ł atwiają cy zrozumienie
i wdrożenie WCAG 2.0,
• Techniques for WCAG 2.0 — opis technik oraz często pope ł nia-
nych b łędów;• The WCAG 2.0 Documents — opis dokumentów technicznych
WCAG 2.0 i zależności pomiędzy nimi.
Ca ł ość liczy ponad 1000 stron wydrukowanego tekstu, przy czym dys-
ponujemy oficjalnym t ł umaczeniem jedynie WCAG 2.0, wykonanym
przez Fundację Instytut Rozwoju Regionalnego22. Pozosta ł e ponad 95%
informacji pozostaje w angielskiej wersji językowej. Z tego też względu,
pomimo podjętych stara
ń , tylko nieliczne portale BIP badanych instytu-cji spe ł nia zalecenia WCAG 2.0.
Biorąc powyższe pod uwagę, Polskie Towarzystwo Informatyczne
zaleca:
1. podjęcie prac nad zmianą przepisów Rozporządzenia Rady
Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych
Ram Interoperacyjności, minimalnych wymagań dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej
oraz minimalnych wymagań dla systemów teleinformatycz-nych (KRI),
2. ustalenie zasad i planów kontroli przestrzegania przepisów KRI,
3. opracowanie i wdrożenie systemu szkoleń i działań promują-
cych przepisy KRI.
22 http://www.fdc.org.pl/wcag2/index.html.
50
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
52/91
Bibliografia
I OSK 89/13, Wyrok NSA, Skarga kasacyjna Zarzą du Okręgowego Pol-
skiego Zwią zku Łowieckiego w O. od wyroku Wojewódzkiego Są du
Administracyjnego w Olsztynie z dnia 6 listopada 2012 r. sygn. akt II
SA/Ol 1067/12 w sprawie ze skargi P. G. – redaktora naczelnegodziennika ʺ[...]ʺ na odmowę udzielenia przez Zarzą d Okręgowy Pol-
skiego Zwią zku Łowieckiego w O. informacji prasowej
II SA/Po 1060/12, Wyrok WSA w Poznaniu, Sprawa skargi J… K. na decyzję
Burmistrza W. z dnia [...] października 2012 r. nr [...] w przedmiocie umo-
rzenia postępowania; I. uchyla zaskarżoną decyzję oraz poprzedzają cą
ją decyzję Dyrektora Gimnazjum nr [...] im. [...] w W. z dnia [...] wrze-
śnia 2012 r. nr [...] (znak:[...])
II SAB/Po 123/13, Wyrok WSA w Poznaniu, Sprawa ze skargi na bez-czynność ʺAʺ Sp. z o.o. w P. w przedmiocie udostępnienia informacji
publicznej
How to Meet WCAG 2.0, https://www.w3.org/WAI/WCAG20/quickref/
Jab ł oński M., Wygoda K., Ustawa o dostę pie do informacji publicznej: ko-
mentarz , Wydawnictwo Uniwersytetu Wroc ł awskiego, Wroc ł aw 2002
Obwieszczenie Marsza ł ka Sejmu Rzeczypospolitej Polskiej z dnia 21
czerwca 2013 r. w sprawie og ł oszenia jednolitego tekstu ustawy o fi-
nansach publicznych, Dz.U. z 2013 r. poz. 885
Obwieszczenie Marsza ł ka Sejmu Rzeczypospolitej Polskiej z dnia 26 czerw-
ca 2014 r. w sprawie og ł oszenia jednolitego tekstu ustawy o ochronie
danych osobowych, Dz.U. 2014 r. poz. 1182
PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarzą dzanie us ł u-
gami – Część 1: Specyfikacja, PN-ISO/IEC 20000-2: 2007 – Technika in-
formatyczna – Zarzą dzanie us ł ugami – Część 2: Regu ł y postępowania
51
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
53/91
Przemysław Jatkiewicz
PN-ISO/IEC 24762:2010, Technika informatyczna – Techniki bezpieczeń-
stwa – Wytyczne dla us ł ug odtwarzania techniki teleinformatycznej
po katastrofiePN-ISO/IEC 27001:2014, Technika informatyczna – Techniki bezpieczeń-
stwa – Systemy zarzą dzania bezpieczeństwem informacji – Wymagania
PN-ISO/IEC 27005:2014, PN-ISO/IEC 27001:2007, Technika informatycz-
na – Techniki bezpieczeństwa – Systemy zarzą dzania bezpieczeń-
stwem informacji – Wymagania
Rozporzą dzenie Ministra Administracji i Cyfryzacji z dnia 17 stycznia
2012 r. w sprawie wzoru wniosku o ponowne wykorzystywanie in-
formacji publicznej, Dz.U. 2012 poz. 94Rozporzą dzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Kra-
jowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej oraz mi-
nimalnych wymagań dla systemów teleinformatycznych, Dz.U. 2012
poz. 526
Rozporzą dzenie Rady Ministrów z dnia 27 listopada 2014 r. zmieniają ce
rozporzą
dzenie w sprawie Krajowych Ram Interoperacyjności, mini-malnych wymagań dla rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymagań dla systemów tele-
informatycznych, Dz.U. z 2014 r. poz. 1671
Steczkowski J., Metoda reprezentacyjna w badaniach zjawisk ekonomiczno-
spo ł ecznych , Wydawnictwo Naukowe PWN, Warszawa 1995
Techniques for WCAG 2.0, https://www.w3.org/WAI/GL/WCAG20-TE
CHS/
Understanding WCAG 2.0 https://www.w3.org/WAI/WCAG20/versions/understanding/wcag20-understanding-20081211-a4.pdf
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyj-
nego, Dz.U. 1960 nr 30 poz. 168
Ustawa z dnia 17 lutego 2005 r. o informatyzacji dzia ł alności podmiotów
realizują cych zadania publiczne, Dz.U. 2005 nr 64 poz. 565
Ustawa z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizują -
cych zadania publiczne, Dz.U. Nr 64, poz. 565 z późn. zm.
52
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
54/91
Bibliografia
Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U. 2009 nr
157 poz. 1240
Ustawa z dnia 6 września 2001 r. o dost
ępie do informacji publicznej,
Dz.U. 2001 nr 112 poz. 1198
Wdrażanie wybranych wymagań dotyczą cych systemów teleinformatycz-
nych, wymiany informacji w postaci elektronicznej oraz krajowych ram
interoperacyjności na przyk ł adzie niektórych urzędów gmin miejskich
i miast na prawach powiatu, NIK KAP-4101-002-00/2014, luty 2015
Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommenda-
tion 11 December 2008
Web Content Accessibility Guidelines WCAG 2.0, http://www.fdc.org.pl/wcag2/index.html
Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamen-
tu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia
audytu wewnętrznego w zakresie bezpieczeństwa informacji
53
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
55/91
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
56/91
Załącznik 1 Ankieta
Zarząd Główny, al. Solidarności 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, fax: + 48 22 636 89 87,e-mail: [email protected], www.pti.org.pl Adres korespondencyjny: ul. Puławska 39 lok. 4, 02-508 Warszawa
Warszawa, dnia xx-xx-xxxx
Urząd xxxxxxxx
ul. xxxxxxxxx xx
xx-xx xxxxxxxxxxx
Polskie Towarzystwo Informatyczne wnioskuje o udostępnienie informacji publicznej na
podstawie art. 2 ust. 1 ustawy o dostępie do informacji publicznej z dnia 6 września 2001r. (Dz. U. Nr 112, poz. 1198), w następującym zakresie:
1. Czy Państwa instytucja posiada wyszczególnione poniżej normy, przeszkoliła
pracowników w zakresie ich stosowania, audytowała organizację na zgodność
z nimi? Proszę o wypełnienie tabeli.
NormaLiczba
zakupionych
Liczba przeszkolonych
pracownikówData audytu Data certyfikacji
PN-ISO/IEC
20000
PN-ISO/IEC
27001
PN-ISO/IEC
27005xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxx
PN-ISO/IEC
24762xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxx
KRS: 0000043879 – Sąd Rejonowy dla m.st. Warszawy w Warszawie,XII Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP: 522-000-20-38, REGON: 001236905
55
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
57/91
Przemysław Jatkiewicz
2. Czy Państwa instytucja przeprowadziła inwentaryzację zasobów
teleinformatycznych i sporządziła w odniesieniu do nich analizę ryzyka oraz czy
prowadzony jest rejestr incydentów bezpieczeństwa. Proszę o wypełnienie tabeli.
Data inwentaryzacji
Liczba aktywów
informacyjnych
Liczba aktywnych
węzłów sieci
Liczba baz danych
Data ostatniej
aktualizacji analizy
ryzyka
Metodyka analizy ryzyka Ilościowa/jakościowa/mieszana/oparta narywalizacji*
Nazwa metodyki
Wykonawca analizy
ryzyka
Wewnętrzny/zewnętrzny*
3. Czy i jakie incydenty bezpieczeństwa zostały wykryte/zgłoszone w Państwa
instytucji? Proszę o wypełnienie tabeli.
Czy instytucja prowadzi rejestr incydentów Tak/Nie*
Ile incydentów zarejestrowano w instytucji w
2014 roku
Data ostatnio zarejestrowanego incydentu
Czy instytucja zarejestrowała incydent któregowaga wymagała zgłoszenia do zespołu CERTABW lub prokuratury
Tak/Nie*
56
-
8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …
58/91
Załącznik 1 Ankieta
4. Czy i kiedy Państwa instytucja ustanowiła Politykę bezpieczeństwa informacji oraz
czy oparła ją o ustawę o ochronie danych osobowych czy normę ISO 27001 oraz czy
jest ona aktualizowana? Proszę o wypełnienie tabeli.
Data ustanowienia
Data ostatniej aktualizacji
Oparta o ISO 27001 czy UODO ISO 27001/UODO*
Częstotliwość przeglądu 1 rok/poniżej 1 roku/powyżej 1 roku*
Data ostatniego audytu
Wykonawca audytu Wewnętrzny/zewnętrzny*
5. Liczby i kompetencje pracowników. Proszę o wypełnienie tabeli.
Liczba pracowników
Liczba pracowników odpowiedzialnych za IT
Liczba pracowników odpowiedzialnych za IT z
wykształceniem wyższym technicznym
Wykształcenie Administratora BezpieczeństwaInformacji (ABI)
Średnie/ wyższe humanistyczne/wyższetechniczne*
Wykształcenie audytora wewnętrznego wyższe humanistyczne/wyższe techniczne*
6. Proszę o podanie liczby pisemnych, zatwierdzonych przez kierownictwo instytucji
procedur. Proszę o wypełnienie tabeli.
Wdrażanie nowych aktywów teleinformatycznych
Bieżąca eksploatacja aktywówteleinformatycznych
Wycofanie aktywów teleinformatycznych
Testowanie systemów teleinformatycznych pod
kątem bezpieczeństwa informacji i