Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram...

8/18/2019 Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności …

1/91


2/91

POLSKIE TOWARZYSTWO INFORMATYCZNE

Przemysław Jatkiewicz

Wdrożenie wybranych wymagań

dotyczących systemów informatycznych

oraz Krajowych Ram Interoperacyjności

w jednostkach samorządu terytorialnego

Raport z badań

WARSZAWA 2 016


3/91

PO L S K I E TO W A R Z Y S T W O IN F O R M A T Y C Z N E

Wszystkie tabele, rysunki i wykresy, o ile nie zaznaczono inaczej, został y wykonane przez Autora

ISBN 978–83–60810–82-8 (druk)

ISBN 978–83–60810–83-5 (e-book)

Praca ta objęta jest licencją Creative Commons Uznanie Autorstwa 3.0 Polska.Aby zapoznać się z kopią licencji, należy odwiedzić stronę internetową http://creativecommons.org/licenses/by/3.0/pl/legalcode lub wysłać list doCreative Commons, 543 Howard St.,5th Floor, San Francisco, California, 94105, USA.

CC by POLSKIE TOWARZYSTWO INFORMATYCZNE 2016

Badanie wykonał Zespół w składzie:

Przemysław Jatkiewicz (kierownik), Adam Mizerski, Krystyna Pełka-Kamińska, AnnaSzczukiewicz, Janusz Żmudziński

Recenzenci:

Prof. dr hab. Zdzisław Szyjewski – Uniwersytet Szczeciński

Dr inż. Adrian Kapczyński – Politechnika Śląska w Gliwicach

Korekta: zespół

Skład: Marek W. Gawron

Wydawca:

POLSKIE TOWARZYSTWO INFORMATYCZNE

00-394 Warszawa, ul. Solec 38 lok. 103

tel. +48 22 838 47 05e-mail: [email protected]

www.pti.org.pl

Druk i oprawa:

ELPIL

08-110 Siedlce, ul. Artyleryjska 11

tel. +48 25 643 65 51

e-mail: [email protected]


4/91

Spis treści

Od Wydawcy 5

1. Wstęp 7

2. Metodyka 9

3. Przebieg badań 17

4. Wyniki badań 25

4.1. Stosowanie norm PN-ISO/IEC 25

4.2. Inwentaryzacja aktywów teleinformatycznych 26

4.3. Analiza ryzyka 27

4.4. Rejestr incydentów 28

4.5. Polityka bezpieczeństwa 29

4.6. Zasoby ludzkie 32

4.7. Procedury 34

4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa 36

4.9. Zgodność z WCAG 2.0 38

5. Weryfikacja hipotez 39

5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami

realizowanymi za pomocą systemów teleinformatycznych zgodnie

z przepisami KRI 39

5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządza-

nia usługami realizowanymi za pomocą systemów teleinformatycz-

nych jest zależna od wielkości podmiotu, liczby i wykształcenia osób

związanych z IT 40

5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawi-

dłowo systemu zarządzania bezpieczeństwem informacji 42


5/91

5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeń-

stwem informacji zależy od wielkości podmiotu, liczby i wykształce-

nia osób zwią

zanych z IT 435.5. Hipoteza 5: Większość systemów teleinformatycznych badanych pod-

miotów służących do prezentacji zasobów informacji nie jest zgod-

nych ze standardem WCAG 2.0 45

5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność

swoich systemów teleinformatycznych służących do prezentacji

zasobów informacji ze standardem WCAG 2.0 45

5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwat-

nych kwalifikacji kadry badanych jednostek 45

6. Wnioski i spostrzeżenia 47

Bibliografia 51

Za łącznik 1. Ankieta 55

Za łącznik 2. Zażalenie 59

Za łącznik 3. Wspólne stanowisko Departamentu Informatyzacji MAiC

i Departamentu Audytu Sektora Finansów Publicznych MF

odnośnie zapewnienia audytu wewnętrznego w zakresie

bezpieczeństwa informacji 61

Za łącznik 4. Wyciąg z dokumentu WCAG 2.0 dotyczącego badanych

wytycznych 65

Za łącznik 5. Wykaz badanych podmiotów 69

Za łącznik 6. Wykaz podmiotów, którym przekazano wyniki badań 85


6/91

Szanowni Państwo,

mamy przyjemność przekazać w Państwa ręce trzecią książkę z cyklu wydawni-

czego Polskiego Towarzystwa Informatycznego Biblioteczka Izby Rzeczoznaw-

ców PTI .

Celem cyklu jest przedstawienie treści mogących zainteresować zarówno

osoby zajmujące się zawodowo informatyką, jak i tych z Państwa, którzy w swojej

pracy stykają się z zagadnieniami i problemami związanymi z informatyką.

Autorem trzeciego tomu z cyklu Biblioteczka Izby Rzeczoznawców PTI jest rze-

czoznawca Izby Rzeczoznawców PTI, dr inż. Przemysław Jatkiewicz. Monografia

prezentuje wyniki badań przeprowadzonych w roku 2015, a dotyczących przepi-

sów Rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych

Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wy-

miany informacji w postaci elektronicznej oraz minimalnych wymagań dla syste-

mów teleinformatycznych, związanych z zarządzaniem systemami informatycz-

nymi. W trybie dostępu do informacji publicznej pozyskano dane od 339 jednostek

samorządowych, które pozwoliły na weryfikację postawionych na wstępie hipotez.

Zapraszamy do lektury niniejszego oraz poprzednich i kolejnych tomów z serii

Biblioteczka Izby Rzeczoznawców PTI .

Marian Noga Tomasz Szatkowski

Prezes Dyrektor Izby Rzeczoznawców

Polskiego Towarzystwa Informatycznego Polskiego Towarzystwa Informatycznego

Warszawa 1 marca 2016 roku


7/91


8/91

Wstęp

30 maja 2012 roku wesz ł o w życie rozporzą dzenie Rady Ministrów z 12

kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności,

minimalnych wymagań dla rejestrów publicznych i wymiany informacji

w postaci elektronicznej oraz minimalnych wymagań

dla systemów tele-informatycznych1 , zwane w dalszej części jako KRI. Rozporzą dzenie

zosta ł o wydane na podstawie art. 18 ustawy z 17 lutego 2005 roku o in-

formatyzacji dzia ł alności podmiotów realizują cych zadania publiczne2.

Artyku ł 18 zobowią zuje Radę Ministrów do określenia w drodze rozpo-

rzą dzenia, wymagań mają cych na uwadze zapewnienie między innymi:

• spójności dzia ł ania systemów teleinformatycznych,

• sprawnej i bezpiecznej wymiany informacji w postaci elektro-

nicznej,• dostępu do zasobów informacji osobom niepe ł nosprawnym.

Zapisy KRI zaczynają obowią zywać w różnych terminach. Podmioty

realizują ce zadania publiczne zosta ł y zobowią zane do dostosowania

systemów teleinformatycznych do standardu WCAG 2.0 na poziomie

AA3 w cią gu 3 lat, a więc do dnia 1 czerwca 2015 roku.

Sposób zarzą dzania us ł ugami realizowanymi za pomocą systemów

teleinformatycznych, wymiana danych pomiędzy systemami, jak i sys-

tem zarzą dzania bezpieczeństwem informacji, powinny spe ł niać przepi-

sy KRI przy wdrożeniu lub w dniu ich pierwszej istotnej modernizacji.

Wobec dużego znaczenia wspomnianych przepisów dla procesu infor-

matyzacji instytucji publicznych oraz dochodzą cych alarmują cych sygna-

1 Dz.U. 2012 poz. 526.2 Dz.U. 2005 nr 64 poz. 565.

3 Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommendation 11 Decem- ber 2008.

7


9/91


ł ów o ich realizacji w organizacjach samorzą dowych, Polskie Towarzy-

stwo Informatyczne, na mocy uchwa ł y Zarzą du G ł ównego nr 027 / XII / 2015

z 24 stycznia 2015 roku, podjęł

o prace badawcze zwią

zane z oceną

stanuwdrożenia KRI w jednostkach samorzą dowych.

8


10/91

Metodyka

Celem badania by ł o stwierdzenie, czy jednostki samorzą dowe spe ł niają

przepisy KRI lub podjęł y prace nad wdrożeniem odpowiednich mecha-

nizmów. Przeprowadzono je w pierwszych 3 kwarta ł ach 2015 roku. Ba-

dana populacja liczy ł a 2 917 podmiotów, na które sk

ł ada

ł y si

ę urz

ędymarsza ł kowskie, powiatowe, miejskie i gminne.

Sformułowano następujące hipotezy badawcze:

Hipoteza 1: Większość badanych podmiotów nie zarzą dza us ł ugami rea-

lizowanymi za pomocą systemów teleinformatycznych

zgodnie z przepisami KRI.

Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczą cych zarzą dzania

us ł ugami realizowanymi za pomocą systemów teleinforma-

tycznych jest zależny od wielkości podmiotu, liczby i wy-kszta ł cenia osób zwią zanych z IT.

Hipoteza 3: Większość badanych podmiotów nie wdroży ł a prawid ł owo

systemu zarzą dzania bezpieczeństwem informacji.

Hipoteza 4: Stopień wdrożenia systemu zarzą dzania bezpieczeństwem

informacji zależy od wielkości podmiotu, liczby i wykszta ł -

cenia osób zwią zanych z IT.

Hipoteza 5: Większość systemów teleinformatycznych s ł użą cych do pre-

zentacji zasobów informacji badanych podmiotów nie jest

zgodnych ze standardem WCAG 2.0.

Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swo-

ich systemów teleinformatycznych s ł użą cych do prezentacji

zasobów informacji ze standardem WCAG 2.0.

Hipoteza 7: G ł ówną przeszkodą we wdrożeniu KRI jest brak adekwat-

nych kwalifikacji kadry badanych jednostek.

9


11/91


W celu weryfikacji wymienionych hipotez, jak również uzyskania do-

datkowych cennych informacji, opracowano ankietę stanowią cą za łą cz-

nik nr 1.Hipotezę nr 1 weryfikowano na podstawie odpowiedzi na pytania

szczegó ł owe. Można ją uznać za prawdziwą , jeśli większość z badanych

podmiotów spe ł nia przynajmniej 1 z 3 następują cych warunków:

1) Posiadanie certyfikatu zgodności z PN-ISO/IEC 200004 zgodnie

z § 15. 3 KRI.

2) Przeszkolenie przynajmniej 1 pracownika lub zakup normy PN-

ISO/IEC 20000 wraz z przeprowadzeniem audytu na zgodność

z PN-ISO/IEC 20000.3) Posiadanie przynajmniej po 1 udokumentowanej procedurze

zgodnie z § 15. 2 KRI, dotyczą cej wdrażania, eksploatacji, wyco-

fywania i testowania aktywów teleinformatycznych.

Hipotezę nr 2 weryfikowano na podstawie ustalenia zależności po-

między wielkością jednostki, określoną na podstawie jej szczebla

zgodnie z tabelą 1, a liczbą punktów przyznawanych wedle klucza pre-

zentowanego w tabeli 2.

Tabela 1. Klasy wielkości w odniesieniu do szczebla instytucji

Rodzaj urzędu Wielkość jednostki

Urząd Marszałkowski Duża

Urząd Miejski w mieście na prawach powiatu Duża

Urząd Dzielnicy (Warszawa) DużaUrząd Powiatowy Średnia

Urząd Miejski Średnia

Urząd Miasta i Gminy Mała

Urząd Gminy Mała

4 PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarzą dzanie us ł ugami – Część 1:

Specyfikacja, PN-ISO/IEC 20000-2: 2007 – Technika informatyczna – Zarzą dzanie us ł ugami– Część 2: Regu ł y postępowania.

10


12/91

Metodyka

Tabela 2. Punktacja cech dla hipotezy nr 2

Punktowana cecha Liczba punktów

Szkolenie przynajmniej 1 osoby z zakresu wymagań PN-ISO/IEC 20000lub zakup normy PN-ISO/IEC 20000

4

Audyt na zgodność z PN-ISO/IEC 20000 4

Procedura wdrażania nowych aktywów teleinformatycznych 1

Procedura bieżącej eksploatacji aktywów teleinformatycznych 1

Procedura wycofania aktywów teleinformatycznych 1

Procedura testowania systemów teleinformatycznych 1

Hipotezę nr 3 można uznać za prawdziwą , jeśli większość z badanych

podmiotów spe ł nia przynajmniej 1 z 3 następują cych warunków:

1) Posiadanie certyfikatu zgodności z PN-ISO/IEC 270015 , zgodnie

z § 20. 3 KRI.

2) Przeszkolenie przynajmniej jednego pracownika oraz przepro-

wadzenie audytu na zgodność z PN-ISO/IEC 27001.

3) Posiadanie i aktualizowanie:

a. inwentaryzacji aktywów teleinformatycznych,

b. analizy ryzyka,

c. rejestru incydentów,

d. polityki bezpieczeństwa i informacji opartych o PN-

ISO/IEC 27001.

Hipotezę nr 4 weryfikowano na podstawie ustalenia zależności pomię-dzy wielkością jednostki, określoną na podstawie jej wielkości zgodnie

z tabelą 1 oraz liczbą i wykszta ł ceniem kadry odpowiedzialnej za zarzą -

dzanie przetwarzaniem informacji, w powiazaniu z liczbą punktów

przyznawanych zgodnie z kluczem prezentowanym w tabeli 3.

5 PN-ISO/IEC 27001:2014, Technika informatyczna – Techniki bezpieczeństwa – Systemyzarzą dzania bezpieczeństwem informacji – Wymagania.

11


13/91


14/91

Metodyka

Punkty za wykonanie analizy ryzyka by ł y przyznawane, jeśli podana

zosta ł a metodyka oraz data aktualizacji, a czas jaki up ł ynął od jej wyko-

nania nie by ł d ł uż

szy niż

1 rok.Uznano, iż badany podmiot prowadzi rejestr incydentów, jeśli zade-

klarowano w ankiecie jego prowadzenie i określono datę rejestracji

ostatniego incydentu.

Weryfikacja hipotezy nr 5 polega ł a na kontroli zgodności w bada-

nych podmiotach systemów teleinformatycznych s ł użą cych do prezen-

tacji zasobów informacji ze standardem WCAG 2.0.

Pe ł ny audyt wszystkich systemów jest zadaniem daleko wykraczają -

cym poza możliwości zespo ł u realizują cego badania. Badania przepro-wadzono jedynie wobec startowych stron BIP w zakresie zgodności z wy-

tycznymi zamieszczonymi w tabeli 4.

Tabela 4. Kontrolowane wytyczne WCAG 2.0

Zasada Wytyczna Kontrolowana cecha

Zasada nr 1:

Postrzegalność

Wytyczna 1.1Alternatywa w

postaci tekstu

1.1.1 Treść nietekstowa: wszelkie treści nietekstoweprzedstawione użytkownikowi posiadają swoją tek-stową alternatywę, która pełni tę samą funkcję

Wytyczna 1.4

Możliwość rozróż-nienia

1.4.3 Kontrast (minimalny): wizualne przedstawienie

tekstu lub obrazu tekstu posiada kontrast wynoszącyprzynajmniej 4,5:1

Zasada nr 4:

Solidność Wytyczna 4.1

Kompatybilność

4.1.1 Parsowanie: w treści wprowadzonej przy uży-ciu języka znaczników, elementy posiadają pełneznaczniki początkowe i końcowe, elementy są za-gnieżdżane według swoich specyfikacji, elementynie posiadają zduplikowanych atrybutów orazwszystkie ID są unikalne, za wyjątkiem przypadków,kiedy specyfikacja zezwala na wyżej wymienionecechy

Do kontroli zgodności wyszczególnionych cech z poszczególnymi wy-

tycznymi, użyto W3C Markup Validation Service oraz przeglą darkę Mo-

13


15/91


zilla Firefox z zainstalowanymi dodatkami WAVE Toolbar i WCAG Con-

trast checker.

Hipotezę nr 6 weryfikowano na podstawie liczby systemów spe ł nia-

ją cych kontrolowane cechy eksploatowanych przez poszczególne klasy

i wielkości instytucji przedstawione w tabeli 1.

Prawdziwość hipotezy nr 7 sprawdzono na podstawie odpowiedzi

na pytanie nr 7 ankiety, w którym respondenci przyznają punkty 0÷5 dla

czynników, które stanowi ł y problem przy ustanowieniu i wdrożeniu

Polityki bezpieczeństwa.

Pomimo, że badana populacja nie jest zbyt duża, zdecydowano się na

reprezentacyjną metodę badań. Przyjęto, iż cechy mają rozk ł ad hiper-geometryczny, który przybliżono rozk ł adem normalnym i zastosowano

następują cy wzór na minimalną wielkość próby8:

=

(1)

gdzie:

n – liczebność próbyN – liczebność populacji

– b łą d

p – wielkość frakcji

u – 1.96, kwantyl rozk ł adu normalnego dla testu dwustronnego

przy poziomie ufności 95%.

Przy liczebności próby wynoszą cej 2 917, b łędzie 5% oraz przyjętej wiel-

kości frakcji 0,5 minimalna liczebność próby to 339.

W celu wyboru obiektów wykonano losowanie bez zwracania, war-

stwowe, przy pomocy generatora liczb pseudolosowych. Oddzielnie loso-

wano podmioty należą ce do każdego rodzaju wyszczególnionego w tabe-

li 1, z uwzględnieniem częstości jego występowania w populacji. Liczby

wylosowanych podmiotów przedstawiono w tabeli 5.

8 J. Steczkowski, Metoda reprezentacyjna w badaniach zjawisk ekonomiczno-spo ł ecznych , Wy-dawnictwo Naukowe PWN, Warszawa 1995, s. 190.

14


16/91

Metodyka

Tabela 5. Liczba wylosowanych podmiotów

Rodzaj urzędu Liczba wylosowanych podmiotów

Urząd Marszałkowski 2

Urząd Miejski w mieście na prawach powiatu 8

Urząd Dzielnicy (Warszawa) 2

Urząd Powiatowy 36

Urząd Miejski 38

Urząd Miasta i Gminy 70

Urząd Gminy 183

Razem 339

15


17/91


18/91

Przebieg badań

Do wszystkich wylosowanych podmiotów wys ł ano pocztą ankiety w formie

wniosku o udostępnienie informacji publicznej. Przyjęta forma mia ł a zagwa-

rantować szybki i 100% zwrot ankiet, gdy

ż w my

śl art. 4 ust. 1 p. 4 ustawyz 6 września 2001 roku o dostępie do informacji publicznej9 , organy admi-

nistracji samorzą dowej zobowią zane są do jej udostępnienia a termin

udzielenia odpowiedzi wynosi 14 dni.

Generalnie termin 14 dni nie by ł dotrzymywany. Ankiety systematycznie

sp ł ywa ł y przez okres 1,5 miesią ca, w trakcie którego odbierano liczne tele-

fony z proś bą o dodatkowe informacje lub przed ł użenie terminu odpo-

wiedzi. Urzędnicy zwracali się z pytaniami o znaczenie terminów: ak-

tywa informacyjne i aktywne węz ł y sieci. Nie rozumieli też , co oznaczametodyka wykonania analizy ryzyka.

Nieliczni respondenci upierali się , iż nie mogą udzielić odpowiedzi ze

względu na politykę ochrony informacji. Problem dotyczy ł zw ł aszcza py-

tania nr 2 w zakresie liczby aktywów, węz ł ów i baz danych oraz pytania

nr 3 w zakresie rejestracji incydentów.

Zdaniem autora zastrzeżenia te są bezpodstawne, gdyż zgodnie z ustawą

o dostępie do informacji publicznej: „Prawo do informacji publicznej podlega

ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informa-

cji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych”. An-

kieta nie zawiera ł a pytań o dane osobowe, a traktowanie odpowiedzi

jako tajemnicy przedsię biorstwa wydaje się nadinterpretacją . Większość

informacji, które pozyskiwane by ł y podczas badań , zosta ł o niemalże

9 Dz.U. 2001 nr 112 poz. 1198.

17


19/91


wprost wymienionych w art. 6 ustawy o dostępie do informacji publicz-

nej, co zosta ł o zaprezentowane w tabeli 6.

Tabela 6. Odniesienie pytań ankiety do rodzajów informacji publicznej wyszczególnionych

w ustawie o dostępie do informacji publicznej

Nr py-

taniaTreść

Odnie-

sienieRodzaj informacji publicznej

1.Zakupione

normy

Art.

6.1 2fMajątek podmiotów realizujących zadania publiczne

1. Przeszkoloneosoby

Art.6.1 2d

Kompetencje osób pełniących funkcje w podmiotach re-alizujących zadania publiczne

1.Audyty

i certyfikacje

Art.

6.1 4a

Dokumentacja przebiegów i efektów kontroli oraz wy-

stąpienia, stanowiska, wnioski i opinie podmiotów ją

przeprowadzających

2. InwentaryzacjaArt.

6.1 4a


stąpienia, stanowiska, wnioski

i opinie podmiotów ją przeprowadzających

2. Analiza ryzykaArt.

6.1 4a


stąpienia, stanowiska, wnioski i opinie podmiotów ją przeprowadzających

3.Rejestr

incydentówBrak odniesienia

4.Polityka bez-

pieczeństwa

Art.

6.1 4a

Treść i postać dokumentów urzędowych


stąpienia, stanowiska, wnioski i opinie podmiotów ją

przeprowadzających

5.

Liczba

i kompetencjepracowników

Art.

6.1 2ai 2d

Organizacja podmiotów realizujących zadania publiczne

Kompetencje osób pełniących funkcje w podmiotach re-

alizujących zadania publiczne

6. ProceduryArt.

6.1 3

Zasady działania podmiotów realizujących zadania pu-

bliczne

Respondenci trzykrotnie zauważyli, iż pytanie nr 3 odnosi się do opinii,

nie zaś informacji publicznej. Zarzut ten jest – niestety – s ł uszny.

Dwukrotnie wp ł ynęł o wezwanie do uzupe ł nienia braków formalnych

i z ł ożenia wniosku zgodnego ze wzorem określonym w rozporzą dzeniu

18


20/91

Przebieg badań

Ministra Administracji i Cyfryzacji z 17 stycznia 2012 roku w sprawie wzoru

wniosku o ponowne wykorzystanie informacji publicznej10.

Wed ł ug urz

ędników, z tre

ści z

ł oż

onego wniosku (ankieta), wynikaż

e jest on zgodnie z treścią art. 23a ust. 1 ustawy o dostępie do informacji

publicznej, wnioskiem o udostępnienie informacji publicznej w celu jej

ponownego wykorzystania. Treść przytoczonego przepisu jest następu-

ją ca: „Wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki orga-

nizacyjne nieposiadające osobowości prawnej informacji publicznej lub każdej

jej części, będącej w posiadaniu podmiotów, o których mowa w ust. 2 i 3, nie-

zależnie od sposobu jej utrwalenia (w postaci papierowej, elektronicznej, dźwię-

kowej, wizualnej lub audiowizualnej), w celach komercyjnych lub niekomercyj-nych, innych niż jej pierwotny publiczny cel wykorzystywania, dla którego

informacja zosta ł a wytworzona, stanowi ponowne wykorzystywanie informacji

publicznej i odbywa się na zasadach określonych w niniejszym rozdziale”. Po-

nieważ interpretacja wydaje się jak najbardziej prawid ł owa, ponowiono

wniosek przy użyciu odpowiedniego formularza zgodnego ze wzorem.

Definitywnie nie można się jednak zgodzić z żą daniem uzasadnienia

wniosku. Przedstawiciel Urzędu Gminy Jedlnia Letnisko uzale

żni ł udziele-nie odpowiedzi od wykazania powodów, dotyczą cych każdego z 7 punktów

wniosku, dla których spe ł nienie jego żą dania będzie szczególnie istotne dla

interesu publicznego. Za podstawę swojego stanowiska przyjął przepisy

art. 3.1 ust. 1 ustawy o dostępie do informacji publicznej o brzmieniu

„Prawo do informacji publicznej obejmuje uprawnienia do uzyskania informa-

cji publicznej, w tym uzyskania informacji przetworzonej w takim zakresie,

w jakim jest to szczególnie istotne dla interesu publicznego”.

Popar ł je fragmentem uzasadnienia wyroku Wojewódzkiego Są du Admi-nistracyjnego w Poznaniu z 23 stycznia 2014 roku: „Informacją przetwo-

rzoną będzie zatem taka informacja, co do której podmiot zobowiązany do jej

udzielenia nie dysponuje taką »gotową« informacją na dzień z ł ożenia wniosku,

ale jej udostę pnienie wymaga podjęcia dodatkowych czynności. Reasumując in-

formacja będzie mia ł a charakter informacji przetworzonej w sytuacji gdy jej

udostę pnienie co do zasady wymaga dokonania stosownych analiz, obliczeń ,

10 Dz.U. 2012 poz. 94.

19


21/91


zestawień statystycznych itp. po łączonych z zaangażowaniem w ich pozyskanie

określonych środków osobowych i finansowych”11.

Pominął

jednak znaczą

cy fragment mówią

cy o tym iż: „Nie stanowi za

ś

przes ł anki dla uznania informacji publicznej za informację przetworzoną oko-

liczność , iż wymaga ona poszukiwania w zasobach archiwalnych podmiotu zo-

bowiązanego. W dalszym cią gu chodzi bowiem o informację , której udostę pnie-

nie nie wymaga jakichkolwiek analiz, obliczeń , zestawień statystycznych itp.,

a jedynie prostego odnalezienia jej w zbiorze dokumentów”. Podkreślić na-

leży, że odpowiedzi na pytania zawarte w ankiecie nie wymaga ł y doko-

nywania żadnych analiz, zestawień czy obliczeń.

W tym samym piśmie powo ł ano się również na wyrok NaczelnegoSą du Administracyjnego z 5 kwietnia 2013 roku12 , który stwierdza: „…

informacją przetworzoną jest informacja publiczna opracowana przez podmiot

zobowiązany przy uż yciu dodatkowych si ł i środków, na podstawie posiadanych

przez niego danych, w związku z żądaniem wnioskodawcy i na podstawie kry-

teriów przez niego wskazanych, czyli innymi s ł owy informacja, która zostanie

przygotowana »specjalnie« dla wnioskodawcy wedle wskazanych przez niego

kryteriów. Informacja przetworzona to taka informacja, której wytworzeniewymaga intelektualnego zaangażowania podmiotu zobowiązanego”.

Sprawdzenie danych w prowadzonych przez urzą d rejestrach lub oficjal-

nych dokumentach czy procedurach wymaga wysi ł ku intelektualnego

znacznie mniej intensywnego niż w ł ożony w przygotowanie takiej odpo-

wiedzi.

W konkluzji przytoczono także wyrok Wojewódzkiego Są du Admini-

stracyjnego w Poznaniu z 7 marca 2013 roku13: „W sytuacji, w której nieu-

dzielenie informacji publicznej przetworzonej nastę puje z powodu niewykaza-nia, że jest to szczególnie istotne dla interesu publicznego, należ y wydać

decyzję o odmowie udzielenia informacji. »Odmowa« pozytywnego za ł atwienia

wniosku nie może nastę pować poprzez decyzję umarzającą postę powanie. (…)

w przypadku ustalenia, że nie zachodzą przes ł anki określone w art. 3 ust. 1 pkt

11 II SAB/Po 123/13.

12 I OSK 89/13.13 II SA/Po 1060/12.

20


22/91

Przebieg badań

1 u.d.i.p., organ powinien wydać decyzję o odmowie udzielania informacji pu-

blicznej”.

Dane, o które wnioskowano w toku badań , zdecydowanie nie mo

żna

uznać za informację przetworzoną , gdyż wynikają wprost z odpowiednich

dokumentów, które nie mają nawet charakteru archiwalnego. W tej sytu-

acji należy stosować przepis art. 2.2 ustawy o dostępie do informacji pu-

blicznej – „Od osoby wykonującej prawo do informacji publicznej nie wolno

żądać wykazania interesu prawnego lub faktycznego”.

Operacji przeniesienia informacji na papier i przes ł ania do wnioskują cego

nie można traktować jako przetworzenia lecz jako przekszta ł cenie14.

Brak możliwości odpowiedzi na pytania ankietowe urzędnicy t ł uma-czyli również rozpoczynają cym się w ł aśnie procesem wdrożenia Polityki

bezpieczeństwa i trwają cą inwentaryzacją na potrzeby opracowywanej

analizy ryzyka (Starostwo Powiatowe w Augustowie). W badaniach cho-

dzi ł o jednak o ustalenie stanu faktycznego na dzień z ł ożenia wniosku, nie

zaś o efekty, jakie w przysz ł ości być może zostaną osią gnięte.

Jeden z urzędników uzna ł , że nie musi udzielić odpowiedzi, powo ł ują c się

na przepisy § 23: „Systemy teleinformatyczne podmiotów realizujących zada-nia publiczne funkcjonujące w dniu wejścia w ż ycie rozporządzenia na pod-

stawie dotychczas obowiązujących przepisów należ y dostosować do wymagań ,

o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich

pierwszej istotnej modernizacji przypadającej po wejściu w ż ycie rozporzą-

dzenia”.

Urzą d, który reprezentowa ł , od dnia wejścia w życie KRI do dnia z ł ożenia

wniosku nie dokona ł żadnej istotnej modernizacji. Pomylony zosta ł w tym

przypadku wymóg dostosowania systemów informatycznych do przepisówKRI z obowią zkiem udzielenia informacji publicznej. Badania, a tym sa-

mym pytania zawarte w ankiecie, mia ł y na celu między innymi odpo-

wiedź na pytanie o stopień przygotowania urzędu.

14 Ustawa o dostę pie do informacji publicznej: komentarz , Wydawnictwo Uniwersytetu Wro-c ł awskiego, Wroc ł aw 2002, s. 32.

21


23/91


W rezultacie wszystkich zastrzeżeń i odmów, z 339 respondentów od-

powiedzi udzieli ł o jedynie 254. Zdecydowano się więc na wniesienie za-

żalenia na nieza

ł atwienie sprawy w terminie – na podstawie art. 37 Ko-

deksu postępowania administracyjnego15 – do Samorzą dowych Kolegiów

Odwo ł awczych, odpowiednich dla poszczególnych urzędów. Treść zażale-

nia stanowi za łą cznik nr 2. Zażalenia, podpisane przez Dyrektor Gene-

ralną Zarzą du G ł ównego Polskiego Towarzystwa Informatycznego, sk ł a-

dane by ł y za pośrednictwem urzędów, których dotyczy ł y.

Spora liczba respondentów zareagowa ł a niemal natychmiast, dzwo-

nią c i proszą c o wycofanie pisma, obiecują c jednocześnie niezw ł oczne

za ł atwienie sprawy. Rozwią zanie takie by ł o efektem oczekiwanymprzez prowadzą cych badania i pozwoli ł o na uzyskanie kolejnych 44 od-

powiedzi. Pozostali respondenci rozpatrywali sprawy we w ł asnym za-

kresie lub prawid ł owo przekazywali je do Samorzą dowych Kolegiów Od-

wo ł awczych. Kolegia te wzywa ł y Polskie Towarzystwo Informatyczne do

przedstawienia upoważnienia Dyrektor do reprezentowania Towarzy-

stwa oraz okazania dowodu nadania pisma, z uwagi na oświadczenia

urzędów o braku przedmiotowej korespondencji. Wskazywa

ł y te

ż na Wo- jewódzkie Są dy Administracyjne jako jednostki w ł aściwe do rozpatrywa-

nia dalszych zażaleń , w tym na bezczynność urzędów.

Ponieważ celem by ł o ukończenie badań , nie zaś wik ł anie się w spory

prawne mogą ce je w sposób znaczą cy opóźnić , podjęto decyzję o dopusz-

czeniu do umorzenia spraw i wykonaniu dodatkowego losowania uzu-

pe ł niają cego pulę respondentów.

Na rysunku 1 pokazano procentowy rozk ł ad udzielenia odpowiedzi

w efekcie podjętych dzia ł ań.

15 Dz.U. 1960 nr 30 poz. 168.

22


24/91

Przebieg badań

Rys. 1. Procentowy rozkład udzielenia odpowiedzi

75%

13%

12%Ankiety w odpowiedzi na

wniosek

Ankiety w odpowiedzi na

zażalenie

Brak odpowiedzi

23


25/91


26/91

4 Wyniki badań

4.1. Stosowanie norm PN-ISO/IEC

Badane urzędy zakupi ł y łą cznie 31 norm wyszczególnionych w KRI, przy

czym najmniejszym zainteresowaniem cieszy ł

a się norma PN-ISO/IEC 20000,dotyczą ca zarzą dzania us ł ugami realizowanymi przez systemy teleinfor-

matyczne. Zdecydowana większość instytucji tj. 309, co stanowi ponad

91% badanych, nie zakupi ł a ani jednej normy. W zakresie stosowania

odpowiednich norm PN-ISO/IEC dokonano 2 973 szkolenia przypadają -

ce na pojedynczego urzędnika, co stanowi ok. 11% zatrudnionych (nie-

którzy urzędnicy byli jednak szkoleni z kilku norm).

Szczegó ł owe dane odnośnie szkoleń zosta ł y zaprezentowane w tabeli 7.

Tabela 7. Szkolenia w zakresie stosowania norm PN-ISO/IEC

Norma Liczba przeszkolonych Liczba urzędów realizujących szkolenia

PN-ISO/IEC 20000 106 6

PN-ISO/IEC 27001 2 564 23

PN-ISO/IEC 27005 160 11

PN-ISO/IEC 24762 143 6

Jedynie 7 urzędów przeprowadzi ł o audyt na zgodność z normą PN-

ISO/IEC 20000. Audyt dotyczą cy normy PN-ISO/IEC 27001 wykona ł o tro-

chę więcej organizacji, tj. 24. Znacznie mniej uzyska ł o certyfikat – odpo-

wiednio 3 i 10 urzędów – przy czym oba posiada ł jedynie Urzą d Miasta

Bydgoszczy oraz Urzą d Gminy Świdwin.

25


27/91


4.2. Inwentaryzacja aktywów teleinformatycznych

Wykonanie inwentaryzacji aktywów teleinformatycznych zadeklarowa-

ł o 159 urzędów (46,9%) przy czym aktualną , nie starszą niż dwa lata,

posiada ł y 103 jednostki (30,38%). Pomimo deklaracji, 46 urzędów nie

potrafi ł o podać liczby aktywów, zaś kolejnych 40 poda ł o liczbę mniejszą

od sumy aktywnych węz ł ów sieci i baz danych. Dodatkowo 5 następ-

nych określi ł o liczbę aktywnych węz ł ów sieci znaczą co mniejszą niż

liczba pracowników. Szczegó ł y zosta ł y przedstawione na rysunku 2.

Ponieważ niemal każdy z pracowników urzędu wykonuje pracę biu-rową i dysponuje zapewne komputerem, wydaje się ma ł o prawdopo-

dobne, by liczba aktywnych węz ł ów sieci (komputery, laptopy, prze-

łą czniki, routery, serwery, drukarki sieciowe) stanowi ł a 90% lub mniej

liczby pracowników urzędu. Reasumują c, wiarygodną i aktualną inwen-

taryzację posiada ł o jedynie 3,54% badanych organizacji.

Rys. 2. Inwentaryzacje aktywów teleinformatycznych w badanych instytucjach

0

20

40

60

80

100

120

140

160

180

Brak

inwentaryzacji

Nieaktualna

inwentaryzacja

Niewiarygodna

inwentaryzacja

Aktualna i

wiarygodna

inwentaryzacja

180

56

91

12

26


28/91

Wyniki badań

4.3. Analiza ryzyka

Niewiele instytucji opracowa ł o analiz

ę ryzyka. Z deklaracji wynika,

że

zrobi ł y to 81 jednostki (23,89%). Jedna natomiast (Urzą d Gminy Mińsk

Mazowiecki) odmówi ł a odpowiedzi, powo ł ują c się na Politykę bezpie-

czeństwa informacji. Jedynie 61 analiz można uznać za aktualne.

Rodzaje zastosowanych metodyk zosta ł y zaprezentowane na rysunku 3.

Rys. 3. Rodzaje zastosowanych metodyk

Znamiennym jest, że respondenci nie umieli ustalić bą dź nie znali nazw

użytych metodyk. Wymieniali następują ce nazwy, których większość , ozna-

czonych kolorem czerwonym, nie jest nazwami metodyk analizy ryzyka:

• burza mózgów (Starostwo Powiatowe w Wadowicach),

• FMEA,

• Prince 2 (Starostwo Powiatowe w Siedlcach),

• arytmetyczna (Starostwo Powiatowe w Kościerzynie),

• CMMI for Services v. 1.3,

19%

25%55%

1%

ilościowa jakościowa mieszana oparta o rywalizację

27


29/91


• PMI (Urzą d Gminy Niemce),

• CRAMM,

•

delficka (Urzą

d Miasta Bydgoszcz),• indukcyjna (Urzą d Miasta i Gminy Twardogóra, Urzą d Gminy

w Liskowie),

• MEHARI,

• ręczna (Urzą d Miejski w Łomży).

Większość z nich ma bardzo luźny zwią zek z metodykami wykonania

analiz ryzyka i dotyczy raczej zarzą dzania projektami lub metod ba-

dawczych. Pomimo ewidentnego braku wiedzy, tylko 11 badanych jed-

nostek skorzysta ł o z pomocy firm zewnętrznych. Zauważono także, iż co najmniej 7 analiz ryzyka nie by ł o poprzedzonych inwentaryzacją ak-

tywów teleinformatycznych.

4.4. Rejestr incydentów

Ponad po ł owa (53,69%) respondentów zadeklarowa ł a prowadzenie reje-

stru incydentów, jednakż

e 134 pozostają

puste, gdyż

nie zarejestrowanow nim żadnego incydentu. Urzą d Gminy Nowy Targ uzna ł natomiast, iż

udzielenie informacji dotyczą cych prowadzenia rejestru incydentów

stanowi zagrożenie informacji.

Szczegó ł owe informacje zosta ł y zaprezentowane na rysunku 4 na na-

stępnej stronie.

W roku 2014 zarejestrowano łą cznie 11 375 incydentów. Mediana in-

cydentów (zarejestrowanych w prowadzonych, niepustych rejestrach)

wynosi zaś 4. Taka niska wartość mediany w stosunku do dużej liczbyincydentów wynika ze sposobu rejestracji prowadzonej przez Urzą d

Marsza ł kowski Województwa Podkarpackiego, który rejestruje zda-

rzenia z systemów antywirusowych czy IDS/IPS (Intrusion Detection Sys-

tem / Intrusion Prevention System). Instytucja ta w roku 2014 zarejestrowa-

ł a 11 000 incydentów. Cześć z incydentów by ł o na tyle poważnych, iż 13

urzędów zg ł osi ł o je do Rzą dowego Zespo ł u Reagowania na Incydenty

Komputerowe CERT, Agencji Bezpieczeństwa Wewnetrznego lub proku-

ratury.

28


30/91

Wyniki badań

Warto zauważyć , że 3 urzędy (miasta Jaworzno, miasta Marki i gmi-

ny Łuków) dokona ł y takich zg ł oszeń , lecz nie prowadzą rejestru incy-

dentów.

Rys. 4. Rejestry prowadzone przez badane instytucje

4.5. Polityka bezpieczeństwa

Oko ł o 12% urzędów (40 jednostek) nie posiada Polityki bezpieczeństwa

informacji. Urzą d Gminy Narewka – w przes ł anym piśmie – uważa, że

nie ma potrzeby jej opracowania. Pozosta ł e ustanowi ł y ją w bardzo

różnym czasie, co zosta ł o pokazane na rysunku 5. Spośród wspomnia-

nych 40 instytucji, 33 posiada zarejestrowane zbiory danych osobo-

wych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony

Danych Osobowych (GIODO).

46,02%

39,53%

14,16%

0,29%

Brak rejestru

Rejestr pusty lub

nieaktualizowany

Rejest aktualny

Odmowa odpowiedzi

29


31/91


Rys. 5. Liczba ustanowień Polityk bezpieczeństwa w latach 1997-2015

Ostatnie zmiany w ustawie z 29 sierpnia 1997 roku o ochronie danych

osobowych16 , wniesione ustawą z 7 listopada 2014 roku o u ł atwieniu wy-

konywania dzia ł alności gospodarczej, obowią zują od 1 stycznia 2015 ro-

ku. Dlatego też należy uznać , iż wszystkie polityki wydane przed ro-

kiem 2014 i nieaktualizowane w latach 2014-2015 są już nieaktualne.

Biorą c powyższe pod uwagę można stwierdzić , że liczba aktualnych

polityk wynosi 114 sztuk. Na rysunku 6 przedstawiono liczbę ostatnich

aktualizacji Polityk bezpieczeństwa badanych jednostek w latach 1997-

2015. Zauważono także, iż część respondentów (28) poda ł o tą samą datę ustanowienia i aktualizacji. Przy formu ł owaniu wniosków traktowano

takie przypadki jako nieaktualizowane. Pomimo że 205 ankietowanych

deklarowa ł o roczny lub krótszy okres aktualizacji, to ponad 39% z nich

aktualizowa ł o swoje Polityki po co najmniej dwuletnim okresie czasu.

16 Dz. U. 2014 r. poz. 1182.

12

11

31

2120

17

3533

16

21

33

29

32

15

9

1 9 9 7

1 9 9 8

1 9 9 9

2 0 0 0

2 0 0 1

2 0 0 2

2 0 0 3

2 0 0 4

2 0 0 5

2 0 0 6

2 0 0 7

2 0 0 8

2 0 0 9

2 0 1 0

2 0 1 1

2 0 1 2

2 0 1 3

2 0 1 4

2 0 1 5

30


32/91

Wyniki badań

Rys. 6. Liczba aktualizacji Polityk bezpieczeństwa w latach 1997-2015

Z przeprowadzonych badań wynika, że prawie po ł owa urzędów (48,08%)

przeprowadzi ł a audyt swojej Polityki bezpieczeństwa. Większość z nich

(86), wykona ł a go w ł asnymi si ł ami, zaś 77 posi ł kowa ł o się firmami ze-

wnętrznymi.

Jak widać na rysunku 7, nowelizacja ustawy o ochronie danych oso-

bowych z roku 2014 stymulowa ł a przeprowadzenie audytów. Znamien-

nym jest, iż 5 organizacji przeprowadzi ł o audyt, lecz nie posiada Polityki

bezpieczeństwa. Wszystkie zamieści ł y informację o trwają cych pracach nad jej ustanowieniem, choć w przypadku Urzędu Miasta i Gminy w Zdu-

nach, biorą c pod uwagę datę audytu, prace te trwają już oko ł o 6 lat.

1 1 1 1 24 4

2

6

16

21

36

69

31

2000 2001 2003 2004 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

31


33/91


Rys. 7. Przeprowadzone w latach 2005-2015 audyty Polityki bezpieczeństwa informacji

4.6. Zasoby ludzkie

Większość urzędów (93,81%) zatrudnia informatyków, jednakże nie

wszyscy z nich posiadają wykszta ł cenie techniczne.

Dane odnośnie wykszta ł cenia technicznego s ł uż b IT przedstawiono

w tabeli 8.

Tabela 8. Kadra IT badanych jednostek

Wykształcenie Liczba informatyków Liczba urzędów

Brak służb IT 0 21

Wyższe techniczne 406 241

Inne 190 77

Razem (wykształcenie techniczne i inne) 596 318

0

10

20

30

40

50

60

70

80

90

100

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

0 0

0 1 1

04 8

12

40

11

1 1

1 1 0

0

0 49

57

12

wykonawca wewnętrzny wykonawca wewnętrzny

32


34/91

Wyniki badań

Nieznacznie mniej (88,79%) jednostek posiada administratora bezpie-

czeństwa informacji. Znacznie mniejsza liczba urzędów (50,74%) za-

trudnia audytorów wewnętrznych. Struktur

ę wykszta

ł cenia osób pe

ł ni

ą cych

omawiane funkcje przedstawia rysunek 8. Brak oznacza nieobsadzone

stanowisko. Nieznajomość wykszta ł cenia administratora bezpieczeń-

stwa czy audytora wewnętrznego świadczy zapewne o tym, że czynno-

ści przypisane tym funkcjom wykonują wynajęte osoby.

Rys. 8. Wykształcenie osób pełniących funkcje administratora bezpieczeństwa infor-

macji i audytora wewnętrznego

Brak audytora wewnętrznego z wykszta ł ceniem średnim zwią zany jest

z wymaganiami ustawy z 27 sierpnia 2009 roku o finansach publicz-

nych:

„ Art. 286. 1. Audytorem wewnętrznym może być osoba, która:

1) ma obywatelstwo państwa cz ł onkowskiego Unii Europejskiej lub in-

nego państwa, którego obywatelom, na podstawie umów międzyna-

0

50

100

150

200

250

382 24

135 140

167

20

66104

ABI Audytor wew.

33


35/91


rodowych lub przepisów prawa wspólnotowego, przys ł uguje prawo

podjęcia zatrudnienia na terytorium Rzeczypospolitej Polskiej;

2) ma pe ł ną zdolno

ść do czynno

ści prawnych oraz korzysta z pe

ł ni praw

publicznych;

3) nie by ł a karana za umyślne przestę pstwo lub umyślne przestę pstwo

skarbowe;

4) posiada wyższe wykszta ł cenie;

5) posiada nastę pujące kwalifikacje do przeprowadzania audytu we-

wnętrznego:

a) jeden z certyfikatów: Certified Internal Auditor (CIA), Certified Gov-

ernment Auditing Professional (CGAP), Certified Information Sys-tems Auditor (CISA), Association of Chartered Certified Account-

ants (ACCA), Certified Fraud Examiner (CFE), Certification in

Control Self Assessment (CCSA), Certified Financial Services Audi-

tor (CFSA) lub Chartered Financial Analyst (CFA), lub

b) z ł oż y ł a, w latach 2003–2006, z wynikiem pozytywnym egzamin na

audytora wewnętrznego przed Komisją Egzaminacyjną powo ł aną

przez Ministra Finansów, lubc) uprawnienia bieg ł ego rewidenta, lub

d) dwuletnią praktykę w zakresie audytu wewnętrznego i legitymuje się

dyplomem ukończenia studiów podyplomowych w zakresie audytu

wewnętrznego, wydanym przez jednostkę organizacyjną , która w dniu

wydania dyplomu by ł a uprawniona, zgodnie z odrębnymi ustawami,

do nadawania stopnia naukowego doktora nauk ekonomicznych lub

prawnych”17.

4.7. Procedury

Najwięcej procedur opracowanych i wdrożonych w urzędach dotyczy

eksploatacji. Znacznie mniejsza liczba zwią zana jest z wdrożeniem no-

wych aktywów, wycofaniem aktywów z eksploatacji oraz testowaniem.

17 Dz.U. 2009 nr 157 poz. 1240.

34


36/91

Wyniki badań

Szczegó ł owe informacje zosta ł y zaprezentowane w tabeli 9. Wynika

z niej, że w badanej grupie istnieją instytucje, które nie mają ani jednej

z co najmniej kilku wyszczególnionych grup procedur. Odpowiedniedane zosta ł y przedstawione na rysunku 9. Ukazuje on procent urzędów,

które mają przynajmniej po jednej procedurze w każdej z grup.

Tabela 9. Procedury wdrożone w badanych urzędach

Procedury

Wdrażanie akty-wów

Eksploatacja

aktywów

Testowanie

aktywów

Wycofanie

aktywów

Liczba 157 68 113 139

Średnia liczbaprzypadającana pojedynczy

urząd

0,46 2,03 0,33 0,41

Maksymalna

liczba20 83 16 19

Liczba organi-zacji bez wdro-

żonej procedu-ry

249 205 278 246

Jak widać na rysunku 9, ponad po ł owa (56%) instytucji nie posiada żad-

nej procedury, natomiast przynajmniej jedną w każdej grupie posiada

tylko 12%.Największa liczba procedur opracowanych przez urzędy, dotyczy ł a

eksploatacji aktywów. Najmniejsza liczba zwią zana by ł a z testowaniem

aktywów. Szczegó ł owe liczby zosta ł y zaprezentowane na rysunku 10.

35


37/91


Rys. 9. Grupy procedur w badanych instytucjach

Rys. 10. Liczba procedur opracowanych przez badane instytucje

56%

13%

8%

11%

12%

0 procedur

1 grupa procedur

2 grupy procedur

3 grupy procedur

4 grupy procedur

0

100

200

300

400

500

600

700

Wdrażanienowych aktywów

Eksploatacja

aktywów

Wycofanie

aktywów

Testowanie

aktywów

157

689

139113

36


38/91

Wyniki badań

4.8. Problemy ustanowienia i wdrożenia Polityki bezpieczeństwa

Sumaryczna ocena, dokonana przez respondentów i umieszczona w tabeli10, jest zbliżona co do wartości dla każdego z przedstawionych w pytaniu

nr 7 ankiety problemów.

Tabela 10. Sumaryczna ocena problemów związanych z ustanowieniem i wdrożeniemPolityki bezpieczeństwa

Problem Punktacja

Wiedza, doświadczenie 827

Finanse 920

Opór czynnika ludzkiego 855

Respondenci najczęściej przyznawali maksymalną liczbę punktów pro-

blemom finansowym, co zosta ł o pokazane w tabeli 11. Ograniczone

środki finansowe wp ł ywają na niedostateczną liczbę szkoleń oraz dzia-

ł ań , mają cych na celu nie tylko pozyskanie wiedzy i kompetencji, lecztakże podniesienie świadomości znaczenia ochrony informacji i wystę-

pują cych zagrożeń.

Tabela 11. Liczba instytucji przyznających maksymalną punktację dla poszczególnych pro-blemów

Problem Liczba instytucji

Wiedza, doświadczenie 36

Finanse 82

Opór czynnika ludzkiego 52

Urzędnicy dodatkowo wymienili następują ce, nieskategoryzowane pro-

blemy:

• sporzą dzanie audytów bezpieczeństwa,

•

brak czasu,

37


39/91


• problemy sprzętowe,

• pracoch ł onność ,

•

braki kadrowe,• sposób przep ł ywu danych pomiędzy systemami,

• nieprecyzyjne, niejasne, niespójne przepisy oraz ich interpretacja,

• nadmiar obowią zków,

• duża liczba zadań ,

• brak zainteresowania pracowników.

4.9. Zgodność z WCAG 2.0

Można uznać , iż nie więcej niż 48 portali BIP badanych jednostek

(14,16%) spe ł nia ł o wymagania zgodności z WCAG 2.0. Prawie wszystkie

posiada ł y wręcz ascetyczną formę. Do wyją tków należy portal Gminy

Kornowac, którego stronę g ł ówną pokazuje rysunek 11.

Rys. 11. Biuletyn Informacji Publicznej Gminy Kornowac

38


40/91

5 Weryfikacja hipotez

5.1. Hipoteza 1: Większość badanych podmiotów nie zarządza usługami

realizowanymi za pomocą systemów teleinformatycznych zgodnie

z przepisami KRI

Hipoteza nr 1 znalaz ł a swoje potwierdzenie w wynikach badań. Nawet

pojedyncze kryteria weryfikacji nie zosta ł y spe ł nione przez większość

organizacji, co zosta ł o uwidocznione w tabeli 12.

Tabela 12. Zestawienie ilościowe i procentowe jednostek spełniających pojedyncze kryteria

weryfikacji hipotezy nr 1

L.p. Kryterium Liczba jednostek % badanej próby

1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88

2.Przeszkolenie przynajmniej 1 pracownika

w zakresie wymagań PN-ISO/IEC 200006 1,77

3.Zakup przynajmniej 1 normy PN-ISO/IEC

200008 2,36

4. Audyt na zgodność z PN-ISO/IEC 20000 7 2,06

5. Przynajmniej 1 udokumentowana proceduradotycząca wdrażania aktywów 90 26,55

6.Przynajmniej 1 udokumentowana procedura

dotycząca eksploatacji aktywów134 39,53


dotycząca wycofania aktywów93 27,43


dotycząca testowania aktywów61 17,99

39


41/91


Najwięcej jednostek (39,53%) posiada przynajmniej 1 udokumentowaną

procedurę dotyczą cą eksploatacji aktywów teleinformatycznych. Jed-

nakż

e komplet procedur funkcjonuje zaledwie w 42 urzę

dach.Tabela 13 przedstawia zestawienie ilościowe i procentowe jednostek

spe ł niają cych łą czne kryteria weryfikacji hipotezy nr 1.

Tabela 13. Zestawienie ilościowe i procentowe jednostek spełniających łączne kryteria

weryfikacji hipotezy nr 1


1. Certyfikat zgodności z PN-ISO/IEC 20000 3 0,88

2.

Przeszkolenie przynajmniej 1 pracownika w

zakresie stosowania normy PN-ISO/IEC 20000

lub zakup normy PN-ISO/IEC 20000 oraz prze-

prowadzenie audytu na zgodność z PN-ISO/IEC20000

5 1,47

3.

Posiadanie przynajmniej po 1 udokumento-

wanej procedurze dotyczącej wdrażania, eks-ploatacji, wycofywania i testowania aktywów

teleinformatycznych

42 12,39

5.2. Hipoteza 2: Stopień wdrożenia przepisów KRI dotyczących zarządzania usłu-

gami realizowanymi za pomocą systemów teleinformatycznych jest zależna

od wielkości podmiotu, liczby i wykształcenia osób związanych z IT

Hipoteza nr 2 również znalaz ł a swoje potwierdzenie. Im większa orga-nizacja, tym większy stopień wdrożenia przepisów KRI zwią zanych z za-

rzą dzaniem us ł ugami realizowanymi za pomocą systemów teleinforma-

tycznych, co zosta ł o pokazane w tabeli 14.

Należy jednak zauważyć , że nawet w przypadku dużych instytucji,

jakimi są Urzędy Marsza ł kowskie, Urzędy Miejskie w miastach na pra-

wach powiatu oraz Urzędy Dzielnicy (Warszawa), średnia liczba punk-

tów stanowi jedynie 36,83% wszystkich możliwych do przyznania.

40


42/91

Weryfikacja hipotez

Tabela 14. Średni stopień wdrożenia przepisów KRI związanych z zarządzaniem usługami

realizowanymi za pomocą systemów teleinformatycznych

Wielkość instytucji Liczba instytucji Liczba punktów Średnia liczba punktów

Małe 253 246 0,97

Średnie 74 151 2,04

Duże 12 53 4,42

Liczba pracowników dzia ł u IT ma bezpośrednie prze ł ożenie na stopień

wdrożenia przepisów KRI zwią zanych z zarzą dzaniem us ł ugami reali-zowanymi za pomocą systemów teleinformatycznych.

Na rysunku 12 zaznaczono kropkami liczbę punktów przyznanych

wed ł ug zasad przedstawionych w tabeli 2 oraz niebieską linię trendu.

Te same oznaczenia użyto na rysunku 13, odnoszą cym się do liczby

pracowników zwią zanych z IT z wykszta ł ceniem wyższym, technicz-

nym.

Rys. 12. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługamirealizowanymi za pomocą systemów teleinformatycznych od liczby pracowników IT

0

2

4

6

8

10

12

0 2 4 6 8 10 12 14 16 18

Ś r e d n i a l i c z b a p u n k t ó w

Liczba pracowników IT

41


43/91


Rys. 13. Zależność stopnia wdrożenia przepisów KRI dotyczących zarządzania usługami

realizowanymi za pomocą systemów teleinformatycznych od liczby pracowników ITz wykształceniem wyższym technicznym

5.3. Hipoteza 3: Większość badanych podmiotów nie wdrożyła prawidłowo

systemu zarządzania bezpieczeństwem informacji

Hipoteza nr 3, jak wynika z danych zamieszczonych w tabeli 15, jest

prawdziwa. Większość badanych podmiotów nie wdroży ł a prawid ł owo

systemu zarzą dzania bezpieczeństwem informacji.

Tabela 15. Zestawienie jednostek spełniających kryteria weryfikacji hipotezy nr 3


1 Certyfikat zgodności z ISO 27001 11 3,24

2 Przeszkolenie przynajmniej 1 pracownika lub

zakup normy ISO 27001 oraz przeprowadzenie

audytu na zgodność z ISO 27001

19 5,60

3.1 Aktualna inwentaryzację aktywów teleinfor-matycznych

12 3,54

3.2 Aktualna analiza ryzyka 61 17,99

3.3 Aktualny rejestr incydentów 48 14,16

3.4 Aktualna Polityka bezpieczeństwa informacjioparta o ISO 27001

5 1,47

0

2

4

6

8

10

12

0 2 4 6 8 10 12 14 16 18

Ś r e d n i a l i c z b a p

u n k t ó w

Liczba pracowników IT z wykształceniem technicznym

42


44/91

Weryfikacja hipotez

5.4. Hipoteza 4: Stopień wdrożenia systemu zarządzania bezpieczeństwem

informacji zależy od wielkości podmiotu, liczby i wykształcenia osób

związanych z IT

Hipotezę nr 4 także należy uznać za potwierdzoną . Jak wynika z danych

zaprezentowanych w tabeli 16, większe jednostki w podwyższonym

stopniu wdroży ł y system zarzą dzania bezpieczeństwem informacji.

Nawet średni stopień wdrożenia dla jednostek dużych nie by ł bliski

maksymalnej możliwej do przyznania liczbie punktów, wynoszą cej 57.

Ponad 14% przebadanych jednostek posiada ł o stopień wdrożenia o war-

tości 0, a nawet niższej.

Tabela 16. Średni stopień wdrożenia systemu zarządzania bezpieczeństwem informacji

Wielkość instytucji Liczba instytucji Liczba punktów Średnia Liczba punktów

Małe 253 1300 5,14

Średnie 74 1136 15,35

Duże 12 394 32,83

Zarówno liczba, jak i wykszta ł cenie pracowników zwią zanych z IT, ma

bezpośrednie prze ł ożenie na stopień wdrożenia systemu zarzą dzania

bezpieczeństwem informacji, co zosta ł o pokazane na rysunkach 14 i 15.

Za pomocą kropek oznaczono średni stopień wdrożenia dla określo-

nych liczebności pracowników, zaś niebieska, cią g ł a linia jest linią tren-

du. Warto zauważyć , iż zerowa liczba pracowników IT zwią zana za-

pewne z outsourcingiem nie zapewnia bezpieczeństwa systemu.

43


45/91


Rys. 14. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacjiod liczby pracowników IT

Rys. 15. Zależność stopnia wdrożenia systemu zarządzania bezpieczeństwem informacji

od liczby pracowników IT z wykształceniem technicznym

0

10

20

30

40

50

60

0 5 10 15 20 25 30 35

Ś r e d n i s t o p i e ń w

d r o ż e n i a

Liczba pracowników IT

0,00

10,00

20,00

30,00

40,00

50,00

60,00

70,00

0 2 4 6 8 10 12 14

Ś r e d n

i s t o p i e ń w

d r o ż e n i a

Liczba pracowników IT z wykształceniem technicznym

44


46/91

Weryfikacja hipotez

5.5. Hipoteza 5: Większość systemów teleinformatycznych służących do pre-

zentacji zasobów informacji badanych podmiotów nie jest zgodnych ze

standardem WCAG 2.0

Hipoteza nr 5 zosta ł a potwierdzona. Większość (przynajmniej 291, co

stanowi 85,84% poddanych analizie) systemów teleinformatycznych

badanych podmiotów s ł użą cych do prezentacji zasobów informacji nie

jest zgodnych ze standardem WCAG 2.0.

5.6. Hipoteza 6: Jednostki wyższego szczebla bardziej dbają o zgodność swo-

ich systemów teleinformatycznych służących do prezentacji zasobów in-formacji ze standardem WCAG 2.0

Hipoteza nr 6 nie zosta ł a potwierdzona. Najmniejszą dba ł ość o zgod-

ność portali BIP z wytycznymi WCAG 2.0 przejawiają instytucje średniej

wielkości, czyli urzędy miejskie i powiatowe. Szczegó ł owe dane przed-

stawione zosta ł y w tabeli 17.

Tabela 17. Instytucje, których portale BIP spełniają wytyczne WCAG 2.0

Wielkość instytucji Liczba instytucjiLiczba BIP zgodnych

z WCAG 2.0

% BIP zgodnych

z WCAG 2.0

Mała 253 38 15,02

Średnia 74 7 9,46

Duża 12 3 25,00

5.7. Hipoteza 7: Główną przeszkodą we wdrożeniu KRI jest brak adekwatnych

kwalifikacji kadry badanych jednostek

Biorą c pod uwagę za ł ożony sposób weryfikacji w oparciu o odpowiedzi

na pytanie nr 7 ankiety, w którym respondenci przyznają punkty od 0 do

5 dla czynników, które stanowi ł y problem przy ustanowieniu i wdroże-

45


47/91


niu Polityki bezpieczeństwa oraz dane z tabeli 11, należy uznać hipotezę

nr 7 za nieprawdziwą .

Jednakż

e pozosta ł e dane odnosz

ą ce si

ę do wykszta

ł cenia informaty-

ków, administratorów bezpieczeństwa czy audytorów wewnętrznych,

jak również braku szkoleń czy zakupu norm pozwalają cych na samo-

dzielne dokszta ł canie, w powią zaniu z oczywistymi b łędami w określe-

niu metodyk czy nieznajomością terminologii branżowej, zdaje się pod-

ważać jej prawdziwość.

Zaledwie 59% zatrudnionych przez urzędy informatyków posiada

wykszta ł cenie wyższe techniczne. Chociaż ponad 82% administratorów

bezpieczeństwa informacji posiada wykszta ł cenie wyższe techniczne, to jednakże aż 40 jednostek nie powo ł a ł a go, co zgodnie z ustawą o ochro-

nie danych osobowych, sprawia, iż funkcję tą piastuje kierownik organi-

zacji, a więc wójt, burmistrz czy prezydent miasta.

46


48/91

6 Wnioski i spostrzeżenia

Jednostki samorzą dowe w większości nie podjęł y adekwatnych starań

odnośnie wdrożenia systemu zarzą dzania bezpieczeństwem informacji.

Nie projektują , nie wdrażają oraz nie eksploatują systemów teleinforma-

tycznych z uwzględnieniem ich funkcjonalno

ści, niezawodno

ści, u

żywal-ności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu

norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.

Nie można jednak z góry za ł ożyć , że ł amią w ten sposób prawo.

Wspomniane obowią zki zosta ł y narzucone instytucjom publicznym

poprzez przepisy rozdzia ł u IV KRI. Nieokreślony jednak zosta ł termin

ich wdrożenia, gdyż w § 23 KRI czytamy: „Systemy teleinformatyczne pod-

miotów realizujących zadania publiczne funkcjonujące w dniu wejścia w ż ycie

rozporządzenia na podstawie dotychczas obowiązujących przepisów należ ydostosować do wymagań , o których mowa w rozdziale IV rozporządzenia, nie

później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wej-

ściu w ż ycie rozporządzenia”.

Rozporzą dzenie nie definiuje pojęcia „istotna modernizacja”, co w po łą -

czeniu z niskim tempem wymiany systemów informatycznych w insty-

tucjach, może spowodować iż faktyczne wejście w życie wspomnianych

przepisów będzie odwlekane jeszcze przez d ł ugie lata. Pomimo, że roz-

porzą dzenie wydano w roku 2012, nadal tylko nieliczne jednostki samo-

rzą dowe podjęł y starania zwią zane z wdrożeniem przepisów KRI.

Wyją tkiem jest przepis § 19 KRI – spe ł nienie wymagań Web Content

Accessibility Guidelines (WCAG 2.0) na poziomie AA przez systemy

teleinformatyczne, eksploatowane przez podmioty realizują ce zadania

publiczne i s ł użą ce prezentacji zasobów informacji.

Termin jego wdrożenia zosta ł ustalony w § 22 o treści: „Systemy telein-

formatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu

47


49/91


wejścia w ż ycie rozporządzenia należ y dostosować do wymagań określonych

w § 19, nie później niż w terminie 3 lat od dnia wejścia w ż ycie niniejszego

rozporządzenia”.

Przytoczony przepis mylnie przywo ł uje rekomendacje jako wymaga-

nia. W literaturze spotyka się też traktowanie WCAG jako standardu.

Faktycznie sta ł y się one standardem 15 października 2012 roku jako

norma ISO/IEC 40500:2012, a więc już po publikacji KRI.

Pomimo tej nieścis ł ości, już pobieżna inspekcja portali BIP badanych

instytucji wykaza ł a, że podjęł y one dzia ł ania dostosowują ce je do wy-

tycznych WCAG 2.0. Zazwyczaj posiadają funkcje zwiększają ce kontrast

i wielkość czcionki, jednak są to jedynie 2 z 35 wytycznych. Zaobserwo-wano również bardzo niekorzystny trend, polegają cy na tworzeniu

osobnych portali dla osób niepe ł nosprawnych, które zapewniają zgod-

ność z WCAG 2.0. Zdaniem autora jest to objaw dyskryminacji niepe ł no-

sprawnych.

Widać jednak, że jednoznaczne określenie terminu wdrożenia stymu-

lują co wp ł ywa na podjęcie dzia ł ań. Z tego też względu zapis § 22 należy

uznać za szkodliwy. Nie skorzystano z mo

żliwo

ści jego skorygowaniaprzy okazji wydania Rozporzą dzenia Rady Ministrów z 27 listopada

2014 roku zmieniają ce rozporzą dzenie w sprawie Krajowych Ram Inter-

operacyjności, minimalnych wymagań dla rejestrów publicznych i wy-

miany informacji w postaci elektronicznej oraz minimalnych wymagań

dla systemów teleinformatycznych18.

Z niewiadomych względów przedk ł ada się ską diną d niezwykle waż-

ne zagadnienie dostępu do informacji osób niepe ł nosprawnych nad

bezpieczeństwo informacji i odpowiednie nią zarzą dzanie. Systemowizarzą dzania informacją poświęcono w KRI znaczną część rozdzia ł u IV.

Celem zawartych w nim przepisów by ł o określenie minimalnych wy-

magań zwią zanych z bezpieczeństwem informacji przetwarzanych przez

podmioty publiczne. Jednocześnie utworzono niejako furtkę pozwalają -

cą na odsuwanie w czasie ich stosowania.

18 Dz.U. z 2014 r. poz. 1671

48


50/91

Wnioski i spostrzeżenia

Jednostki samorzą dowe zdają sobie sprawę z niejasnej sytuacji, stą d

w ł aśnie niechęć do udzielania informacji opisana w części poświęconej

przebiegowi badań

. Dodatkowo brak nadzoru i kontroli, wytknięty ju

ż

przez Najwyższą Izbę Kontroli19 , w po łą czeniu z sygnalizowanymi w ba-

daniach barierami finansowymi, powodują iż wdrożenie przepisów KRI

będzie się przecią ga ł o.

Warto zauważyć , że dzia ł ania Generalnego Inspektora Ochrony Danych

Osobowych polegają ce na popularyzacji przepisów oraz kontroli ich prze-

strzegania przynoszą rezultaty. Niemalże wszystkie urzędy posiadają Poli-

tykę bezpieczeństwa dotyczą cą ochrony danych osobowych. Opublikowa-

ne 26 kwietnia 2013 roku oraz zaktualizowane 9 maja 2013 roku wspólnestanowisko resortu finansów oraz Ministerstwa Cyfryzacji i Administracji,

zawierają ce m.in. wytyczne dotyczą ce prowadzenia audytu wewnętrznego

bezpieczeństwa informacji przetwarzanych w systemie teleinformatycz-

nym przez komórkę audytu wewnętrznego, nie przynios ł o oczekiwanych

rezultatów20. Treść stanowiska przedstawiono w za łą czniku nr 3. Audyto-

rzy wewnętrzni zazwyczaj nie posiadają odpowiednich kompetencji. Tylko

38,82% z nich posiada wykszta ł

cenie wyż

sze techniczne, zaś 65,29% doko-na ł o analizy ryzyka, choć obowią zek corocznego jej wykonywania wynika

z ustawy z 27 sierpnia 2009 roku o finansach publicznych21 i wydanych na

jej podstawie rozporzą dzeń Ministra Finansów w sprawie audytu we-

wnętrznego oraz informacji o pracy i wynikach tego audytu.

Nie można nie doceniać wagi wspomnianej popularyzacji. Z prze-

prowadzonych badań wynika, że kompetencje urzędników odpowie-

dzialnych za funkcjonowanie systemów informatycznych stoją na ni-

skim poziomie. Świadczą o tym przytoczone przyk ł ady nieznajomościterminologii i metodyk. Zaobserwowano też mylną interpretację wy-

19 Wdrażanie wybranych wymagań dotyczą cych systemów teleinformatycznych, wy-miany informacji w postaci elektronicznej oraz krajowych ram interoperacyjności naprzyk ł adzie niektórych urzędów gmin miejskich i miast na prawach powiatu, NIKKAP-4101-002-00/2014, luty 2015.20 Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sekto-

ra Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie

bezpieczeństwa informacji.21 Dz.U. z 2013 r. poz. 885.

49


51/91


tycznych WCAG 2.0 zwią zaną z powierzchownym zapoznaniem się je-

dynie z g ł ównym dokumentem, bez materia ł ów dodatkowych, do któ-

rych się on odnosi.

Zauważyć należy, że sam Web Content Accessibility Guidelines jest

krótkim, 44 stronnicowym (po wydrukowaniu) dokumentem, który za-

wiera jednak odnośniki do następnych materia ł ów:

• How to Meet WCAG 2.0 — aktualna lista referencji WCAG 2.0;

• Understanding WCAG 2.0 — poradnik u ł atwiają cy zrozumienie

i wdrożenie WCAG 2.0,

• Techniques for WCAG 2.0 — opis technik oraz często pope ł nia-

nych b łędów;• The WCAG 2.0 Documents — opis dokumentów technicznych

WCAG 2.0 i zależności pomiędzy nimi.

Ca ł ość liczy ponad 1000 stron wydrukowanego tekstu, przy czym dys-

ponujemy oficjalnym t ł umaczeniem jedynie WCAG 2.0, wykonanym

przez Fundację Instytut Rozwoju Regionalnego22. Pozosta ł e ponad 95%

informacji pozostaje w angielskiej wersji językowej. Z tego też względu,

pomimo podjętych stara

ń , tylko nieliczne portale BIP badanych instytu-cji spe ł nia zalecenia WCAG 2.0.

Biorąc powyższe pod uwagę, Polskie Towarzystwo Informatyczne

zaleca:

1. podjęcie prac nad zmianą przepisów Rozporządzenia Rady

Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych

Ram Interoperacyjności, minimalnych wymagań dla rejestrów

publicznych i wymiany informacji w postaci elektronicznej

oraz minimalnych wymagań dla systemów teleinformatycz-nych (KRI),

2. ustalenie zasad i planów kontroli przestrzegania przepisów KRI,

3. opracowanie i wdrożenie systemu szkoleń i działań promują-

cych przepisy KRI.

22 http://www.fdc.org.pl/wcag2/index.html.

50


52/91

Bibliografia

I OSK 89/13, Wyrok NSA, Skarga kasacyjna Zarzą du Okręgowego Pol-

skiego Zwią zku Łowieckiego w O. od wyroku Wojewódzkiego Są du

Administracyjnego w Olsztynie z dnia 6 listopada 2012 r. sygn. akt II

SA/Ol 1067/12 w sprawie ze skargi P. G. – redaktora naczelnegodziennika ʺ[...]ʺ na odmowę udzielenia przez Zarzą d Okręgowy Pol-

skiego Zwią zku Łowieckiego w O. informacji prasowej

II SA/Po 1060/12, Wyrok WSA w Poznaniu, Sprawa skargi J… K. na decyzję

Burmistrza W. z dnia [...] października 2012 r. nr [...] w przedmiocie umo-

rzenia postępowania; I. uchyla zaskarżoną decyzję oraz poprzedzają cą

ją decyzję Dyrektora Gimnazjum nr [...] im. [...] w W. z dnia [...] wrze-

śnia 2012 r. nr [...] (znak:[...])

II SAB/Po 123/13, Wyrok WSA w Poznaniu, Sprawa ze skargi na bez-czynność ʺAʺ Sp. z o.o. w P. w przedmiocie udostępnienia informacji

publicznej

How to Meet WCAG 2.0, https://www.w3.org/WAI/WCAG20/quickref/

Jab ł oński M., Wygoda K., Ustawa o dostę pie do informacji publicznej: ko-

mentarz , Wydawnictwo Uniwersytetu Wroc ł awskiego, Wroc ł aw 2002

Obwieszczenie Marsza ł ka Sejmu Rzeczypospolitej Polskiej z dnia 21

czerwca 2013 r. w sprawie og ł oszenia jednolitego tekstu ustawy o fi-

nansach publicznych, Dz.U. z 2013 r. poz. 885

Obwieszczenie Marsza ł ka Sejmu Rzeczypospolitej Polskiej z dnia 26 czerw-

ca 2014 r. w sprawie og ł oszenia jednolitego tekstu ustawy o ochronie

danych osobowych, Dz.U. 2014 r. poz. 1182

PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarzą dzanie us ł u-

gami – Część 1: Specyfikacja, PN-ISO/IEC 20000-2: 2007 – Technika in-

formatyczna – Zarzą dzanie us ł ugami – Część 2: Regu ł y postępowania

51


53/91


PN-ISO/IEC 24762:2010, Technika informatyczna – Techniki bezpieczeń-

stwa – Wytyczne dla us ł ug odtwarzania techniki teleinformatycznej

po katastrofiePN-ISO/IEC 27001:2014, Technika informatyczna – Techniki bezpieczeń-

stwa – Systemy zarzą dzania bezpieczeństwem informacji – Wymagania

PN-ISO/IEC 27005:2014, PN-ISO/IEC 27001:2007, Technika informatycz-

na – Techniki bezpieczeństwa – Systemy zarzą dzania bezpieczeń-

stwem informacji – Wymagania

Rozporzą dzenie Ministra Administracji i Cyfryzacji z dnia 17 stycznia

2012 r. w sprawie wzoru wniosku o ponowne wykorzystywanie in-

formacji publicznej, Dz.U. 2012 poz. 94Rozporzą dzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Kra-

jowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów

publicznych i wymiany informacji w postaci elektronicznej oraz mi-

nimalnych wymagań dla systemów teleinformatycznych, Dz.U. 2012

poz. 526

Rozporzą dzenie Rady Ministrów z dnia 27 listopada 2014 r. zmieniają ce

rozporzą

dzenie w sprawie Krajowych Ram Interoperacyjności, mini-malnych wymagań dla rejestrów publicznych i wymiany informacji

w postaci elektronicznej oraz minimalnych wymagań dla systemów tele-

informatycznych, Dz.U. z 2014 r. poz. 1671

Steczkowski J., Metoda reprezentacyjna w badaniach zjawisk ekonomiczno-

spo ł ecznych , Wydawnictwo Naukowe PWN, Warszawa 1995

Techniques for WCAG 2.0, https://www.w3.org/WAI/GL/WCAG20-TE

CHS/

Understanding WCAG 2.0 https://www.w3.org/WAI/WCAG20/versions/understanding/wcag20-understanding-20081211-a4.pdf

Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyj-

nego, Dz.U. 1960 nr 30 poz. 168

Ustawa z dnia 17 lutego 2005 r. o informatyzacji dzia ł alności podmiotów

realizują cych zadania publiczne, Dz.U. 2005 nr 64 poz. 565

Ustawa z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizują -

cych zadania publiczne, Dz.U. Nr 64, poz. 565 z późn. zm.

52


54/91

Bibliografia

Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U. 2009 nr

157 poz. 1240

Ustawa z dnia 6 września 2001 r. o dost

ępie do informacji publicznej,

Dz.U. 2001 nr 112 poz. 1198

Wdrażanie wybranych wymagań dotyczą cych systemów teleinformatycz-

nych, wymiany informacji w postaci elektronicznej oraz krajowych ram

interoperacyjności na przyk ł adzie niektórych urzędów gmin miejskich

i miast na prawach powiatu, NIK KAP-4101-002-00/2014, luty 2015

Web Content Accessibility Guidelines (WCAG) 2.0 W3C Recommenda-

tion 11 December 2008

Web Content Accessibility Guidelines WCAG 2.0, http://www.fdc.org.pl/wcag2/index.html

Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamen-

tu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia

audytu wewnętrznego w zakresie bezpieczeństwa informacji

53


55/91


56/91

Załącznik 1 Ankieta

Zarząd Główny, al. Solidarności 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, fax: + 48 22 636 89 87,e-mail: [email protected], www.pti.org.pl Adres korespondencyjny: ul. Puławska 39 lok. 4, 02-508 Warszawa

Warszawa, dnia xx-xx-xxxx

Urząd xxxxxxxx

ul. xxxxxxxxx xx

xx-xx xxxxxxxxxxx

Polskie Towarzystwo Informatyczne wnioskuje o udostępnienie informacji publicznej na

podstawie art. 2 ust. 1 ustawy o dostępie do informacji publicznej z dnia 6 września 2001r. (Dz. U. Nr 112, poz. 1198), w następującym zakresie:

1. Czy Państwa instytucja posiada wyszczególnione poniżej normy, przeszkoliła

pracowników w zakresie ich stosowania, audytowała organizację na zgodność

z nimi? Proszę o wypełnienie tabeli.

NormaLiczba

zakupionych

Liczba przeszkolonych

pracownikówData audytu Data certyfikacji

PN-ISO/IEC

20000

PN-ISO/IEC

27001

PN-ISO/IEC

27005xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxx

PN-ISO/IEC

24762xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxx

KRS: 0000043879 – Sąd Rejonowy dla m.st. Warszawy w Warszawie,XII Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP: 522-000-20-38, REGON: 001236905

55


57/91


2. Czy Państwa instytucja przeprowadziła inwentaryzację zasobów

teleinformatycznych i sporządziła w odniesieniu do nich analizę ryzyka oraz czy

prowadzony jest rejestr incydentów bezpieczeństwa. Proszę o wypełnienie tabeli.

Data inwentaryzacji

Liczba aktywów

informacyjnych

Liczba aktywnych

węzłów sieci

Liczba baz danych

Data ostatniej

aktualizacji analizy

ryzyka

Metodyka analizy ryzyka Ilościowa/jakościowa/mieszana/oparta narywalizacji*

Nazwa metodyki

Wykonawca analizy

ryzyka

Wewnętrzny/zewnętrzny*

3. Czy i jakie incydenty bezpieczeństwa zostały wykryte/zgłoszone w Państwa

instytucji? Proszę o wypełnienie tabeli.

Czy instytucja prowadzi rejestr incydentów Tak/Nie*

Ile incydentów zarejestrowano w instytucji w

2014 roku

Data ostatnio zarejestrowanego incydentu

Czy instytucja zarejestrowała incydent któregowaga wymagała zgłoszenia do zespołu CERTABW lub prokuratury

Tak/Nie*

56


58/91

Załącznik 1 Ankieta

4. Czy i kiedy Państwa instytucja ustanowiła Politykę bezpieczeństwa informacji oraz

czy oparła ją o ustawę o ochronie danych osobowych czy normę ISO 27001 oraz czy

jest ona aktualizowana? Proszę o wypełnienie tabeli.

Data ustanowienia

Data ostatniej aktualizacji

Oparta o ISO 27001 czy UODO ISO 27001/UODO*

Częstotliwość przeglądu 1 rok/poniżej 1 roku/powyżej 1 roku*

Data ostatniego audytu

Wykonawca audytu Wewnętrzny/zewnętrzny*

5. Liczby i kompetencje pracowników. Proszę o wypełnienie tabeli.

Liczba pracowników

Liczba pracowników odpowiedzialnych za IT

Liczba pracowników odpowiedzialnych za IT z

wykształceniem wyższym technicznym

Wykształcenie Administratora BezpieczeństwaInformacji (ABI)

Średnie/ wyższe humanistyczne/wyższetechniczne*

Wykształcenie audytora wewnętrznego wyższe humanistyczne/wyższe techniczne*

6. Proszę o podanie liczby pisemnych, zatwierdzonych przez kierownictwo instytucji

procedur. Proszę o wypełnienie tabeli.

Wdrażanie nowych aktywów teleinformatycznych

Bieżąca eksploatacja aktywówteleinformatycznych

Wycofanie aktywów teleinformatycznych

Testowanie systemów teleinformatycznych pod

kątem bezpieczeństwa informacji i

Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram...

Documents

Transcript of Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram...