UWAGI. Polskiej Izby Informatyki i Telekomunikacji (PIIT)



Podobne dokumenty
Linia współpracy Projekt Informatyzacja JST z wykorzystaniem technologii przetwarzania w Chmurze. Warszawa, 17 lutego 2015 r.

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Chmura Obliczeniowa Resortu Finansów HARF

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

Trwałość projektów 7 osi PO IG

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

ŚRODA Z FUNDUSZAMI DLA INSTYTUCJI PUBLICZNYCH NA E-ADMINISTRACJĘ I CYFRYZACJĘ

W perspektywie kluczowych projektów informatycznych MSWiA uwarunkowania prawne, koncepcyjne i realizacyjne

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Program Operacyjny Polska Cyfrowa

Cyfrowa Małopolska w stronę e-administracji i cyfrowych zasobów

Kryteria merytoryczne dla działania 2.1 Wysoka dostępność i jakość e-usług publicznych Programu Operacyjnego Polska Cyfrowa na lata

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

Program Zintegrowanej Informatyzacji Państwa - strategia dla e- administracji

Implementacja chmury prywatnej dla potrzeb administracji publicznej miasta Opola na przykładzie projektu E-Opole.

Chmura Krajowa milowy krok w cyfryzacji polskiej gospodarki

Warszawa, 17 marca 2014 r.

PO Polska cyfrowa

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

Id: B28-41F7-A3EF-E67F59287B24. Projekt Strona 1

SKZ System Kontroli Zarządczej

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Sprawdzenie systemu ochrony danych

e-administracja: nowe technologie w służbie obywatelowi

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

ARCHIWUM DOKUMENTÓW ELEKTRONICZNYCH

Współpraca administracji rządowej i samorządowej w zakresie cyfryzacji usług publicznych

Usprawnianie administracji przy pomocy informatyzacji. Upraszczanie procedur administracyjnych - rola epuap, pl.id, działania MSWiA.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Program Operacyjny Polska Cyfrowa

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

U Z A S A D N I E N I E

Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT?

Plan Informatyzacji Państwa

Cechy e-usługi i e-firmy. Elastyczność i niezawodność. Jak się przygotować na zmiany?

Promotor: dr inż. Krzysztof Różanowski

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

HELIOS - Integracja rejestrów publicznych z wykorzystaniem Krajowej Szyny Usług

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

Lp. Nazwa kryterium Opis kryterium Punktacja. Zgodnie z RPO WM , w ramach kryterium wnioskodawca zobowiązany jest wykazać,

Informatyzacja administracji publicznej w Polsce w świetle polityki społeczeństwa informacyjnego UE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Działanie 2.1: E-usługi; Poddziałanie 2.1.1: E-usługi dla Mazowsza; Typ projektu: Regionalna Platforma Informacyjna

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata przyjętym dnia 15 lutego 2010 r.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Przetwarzanie danych w chmurze

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Obrót dokumentami elektronicznymi w chmurze

Rajmund Ryś Kierujący pracą Departamentu Polityki Przestrzennej Ministerstwo Rozwoju Regionalnego VI DZIEŃ URBANISTY, Poznań

Nazwa wnioskodawcy. Polska Organizacja Turystyczna. Naczelna Dyrekcja Archiwów Państwowych. Ministerstwo Administracji i Cyfryzacji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Michał Jaworski Wiceprezes PIIT

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Rekomendacje Zespołu Rady Cyfryzacji MAiC ds. informatyzacji Państwa. Warszawa, dnia 12 marca 2015 r.

Standaryzacja cyfrowych usług publicznych

Uchwała nr 17. Komitetu Monitorującego. Regionalny Program Operacyjny Województwa Śląskiego z dnia 19 czerwca 2015r.

Wspólna propozycja w ramach porozumienia z dnia

Bezpieczeństwo informacji. jak i co chronimy

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Usługi transgraniczne dla biznesu w polskiej e-administracji

PAKIET DROGOWY Optymalizacja procesu realizacji inwestycji drogowych

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

STRATEGIA CYFRYZACJI REGIONU MAZOWIECKIE SPOTKANIA Z E-ADMINISTRACJĄ WARSZAWA, R.

Instrukcja do opracowania Koncepcji technicznej projektu

Analiza komplementarności projektów RPO WL z innymi interwencjami finansowanymi ze środków UE na terenie Lubelszczyzny

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

SPIS TREŚCI. Wstęp... 9

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

BAKER TILLY POLAND CONSULTING

ROZPORZĄDZENIE MINISTRA ZDROWIA 12. z dnia.. r. w sprawie sposobu prowadzenia Rejestru Dawców Komórek Rozrodczych i Zarodków

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Data sporządzenia 11 maja 2016 r.

CYFROWE ŚLĄSKIE w REGIONALNYM PROGRAMIE OPERACYJNYM WOJEWÓDZTWA ŚLĄSKIEGO NA LATA

Kluczowe projekty informatyczne MSWiA uwarunkowania prawne, koncepcyjne i realizacyjne

Działanie 2.1. Cel szczegółowy:


Architektura korporacyjna państwa a nowoczesna administracja publiczna

UCHWAŁA Nr... RADY MIEJSKIEJ LESZNA. z dnia... stanowisko w sprawie powołania Centrum Usług Wspólnych

Księgowość w chmurze

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Wsparcie przedsiębiorców w latach możliwości pozyskania dofinansowania w nowej perspektywie unijnej

Lublin, 18 listopada 2016 r. Oś Priorytetowa 2 Cyfrowe Lubelskie RPO WL na lata

Priorytet 10: Wspieranie i unowocześnianie instytucji samorządowych. Analiza SWOT

Od ODO do RODO. Informacje o usłudze. 699,00 zł. Czy usługa może być dofinansowana? pracowników. Dostępność usługi

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Informatyka w kontroli i audycie

opracowanie 3 nowoczesnych metod służących identyfikacji, opisowi oraz optymalizacji procesów zarządzania w JST.

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

KRYTERIA FORMALNE SPECYFICZNE WYBORU PROJEKTÓW POZAKONKURSOWYCH DLA DZIAŁANIA LUBELSKIEGO NA LATA

Fundusze Europejskie szansą na budowę e-państwa.

Przedstawienie działań IT MF

Rysunek 1. Miejsce SRT w systemie zintegrowanych strategii rozwoju kraju

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Transkrypt:

Warszawa, dnia 2015-01-07 UWAGI Polskiej Izby Informatyki i Telekomunikacji (PIIT) do projektu rozporządzenia: Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych PIIT z uwagą i zadowoleniem obserwuje kolejne próby uporządkowania problemu ochrony danych osobowych w ramach obowiązującego prawa, poprzez dookreślenie jego reguł w związku z rozwojem nowych usług. Proponowane przez Ministerstwo Administracji i Cyfryzacji rozwiązania, wydają się naszym zdaniem zmierzać we właściwym kierunku. Zrzeszając w swoich szeregach przedstawicieli firm informatycznych, portali internetowych, firm usługowych oraz największych polskich operatorów telekomunikacyjnych, ISP i dostawców treści, jesteśmy żywotnie zainteresowani wszelkimi rozstrzygnięciami w tym zakresie. Poniżej uwagi, propozycje zmian i komentarze przygotowane przez ekspertów Izby. I. Uwagi ogólne 1. Uwagi dotyczące semantyki podstawowych pojęć użytych w w.w. dokumentach. Mamy, jako środowisko poważne zastrzeżenia do słownictwa używanego w wymienionych dokumentach - a dokładniej do tłumaczenia (stosowania) pojęcia cloud computing, gdyż: tłumaczenie "chmura obliczeniowa" jest semantycznie niepoprawne i mylące w języku ang. "obliczeniowy" to "computational" w jezyku ang. "computing" ma znaczenie bardzo ogólne, znacznie szersze niż obliczenia, i jest bardziej nastawione na komputery i informatykę (patrz. wikipedia (eng)) lepsze byłoby tłumaczenie "chmura obliczeń" lub "chmura komputerowa" czy " chmura informatyczna" jako rozwiązanie informatyczne jest to po prostu CLOUD czyli CHMURA co do zasady jest to usługa, a więc wykonywanie czynności, czyli "przetwarzanie w chmurze". Naszym zdaniem propozycje zapisów nowych pojęć w aktach prawnych powinny być efektem bardzo starannych przemyśleń a nie prostego, (dosłownego) tłumaczenia. Wpisywanie "przypadkowych" (bo taka jest geneza tłumaczenia "chmura obliczeniowa") Uwagi PIIT do projektu rozporządzenia MAC Strona 1

sformułowań nie powinno mieć miejsca, tym bardziej, że będzie potem przedmiotem wielu prawniczych interpretacji. Według PIIT należy trzymać się dwóch pojęć: "przetwarzanie w chmurze, jako wskazanie na usługi w chmurze oraz po prostu "Chmura, jeżeli mówimy o pewnym informatycznym produkcie. 2. Zakres rozporządzenia Rozporządzenie w przeważającej mierze skupia się na regulacji dotyczącej sprawdzeń, natomiast praktycznie pomija obowiązki zawarte w art 36a ust. 2 pkt 1 lit. b i c ustawy o ochronie danych osobowych. Ponadto wprowadza dodatkowe pojęcie w postaci weryfikacji, czego skutkiem jest zamęt pojęciowy, a par. 8-10 rozporządzenia nie precyzują zadań ABI w zakresie obowiązków nadzorczych - zrozumiale i precyzyjnie. Na tle wskazanych przepisów rozporządzenia pojawia się podstawowe pytanie, czy obowiązki nadzorcze ABI sprowadzają się wyłącznie do "sprawdzeń"? Treść par. 9 na to by wskazywała, ale chyba nie takie było założenie ustawodawcy, które legło u podstaw wprowadzenia ramowego zakresu obowiązków ABI. W konsekwencji rozporządzenie w tym zakresie winno być poprawione. 3. Rola ABI w rozporządzeniu Ustawodawca w Rozporządzeniu, w ślad za ustawą, nie ma jednoznacznej opinii, jaką rolę w przetwarzaniu danych osobowych ma pełnić ABI. Ustawodawca z jednej strony pozwala administratorowi danych (AD) na podjęcie decyzji czy ABI będzie w jego strukturach, a jeśli tak to wymaga, aby ABI była to osoba posiadająca odpowiednią wiedzę o ochronie danych osobowych. Z drugiej strony ustawodawca próbuje ukształtować obowiązki ABI na wzór podmiotu niezależnego od AD (wolny zawód?), gdy tymczasem ABI to de facto administrator danych. W konsekwencji zakładając rozdział czynności związanych z opracowaniem i aktualizacją dokumentacji przetwarzania danych osobowych od czynności związanej z nadzorem i weryfikacją dokumentacji nakłada na przedsiębiorcę nie tylko nowe obciążenia związane z powołaniem ABI, ale także związane z zatrudnieniem czy wynajęciem podmiotów, które mają przygotowywać dla ABI określone dokumenty. Pomijany milczeniem jest zaś fakt, iż w praktyce nadzorowanie opracowania i aktualizacji będzie/jest faktycznym opracowaniem i aktualizacją dokumentacji wykonywaną przez ABI, albowiem na ABI powołuje się osobę spełniającą wymagania ustawowe, czyli m.in. posiadająca odpowiednią wiedzę o ochronie danych osobowych. Uwagi PIIT do projektu rozporządzenia MAC Strona 2

II. Uwagi szczegółowe Uwaga 1: zmiana w 6 ust. 2 Jest: 2. Sprawozdanie jest sporządzane w postaci elektronicznej albo w postaci papierowej. Sprawozdanie w postaci elektronicznej należy opatrzyć bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, lub, wyłącznie w przypadku sprawozdania dla Generalnego Inspektora, podpisem potwierdzonym profilem zaufanym epuap w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114). Propozycja: 2. Sprawozdanie jest udokumentowane w postaci elektronicznej albo w postaci papierowej w sposób zapewniający integralność dokumentu. W przypadku sporządzenia sprawozdania dla Generalnego Inspektora w postaci elektronicznej sprawozdanie należy opatrzyć bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, lubpodpisem potwierdzonym profilem zaufanym epuap w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114). Uzasadnienie: Nieuzasadnione jest nałożenie wymagania używania kwalifikowanego podpisu elektronicznego wewnątrz przedsiębiorstwa. Przedsiębiorstwo może dokumentować realizowane procesy zgodnie z wewnętrznymi regulacjami. Jedynie w kontaktach z GIODO można stosować wymagania określone w odpowiednich ustawach. Ponadto, sporządzenie sprawozdania dzisiejszych czasach jest w zasadzie ZAWSZE za pomocą środków elektronicznych. Tu chodzi o dokument końcowy sprawozdania, przekazywany administratorowi danych Uwaga 2: zmiana w 7 Jest: Sprawozdanie oraz dokumenty, o których mowa w 4 ust. 4, administrator bezpieczeństwa informacji przechowuje przez okres, co najmniej pięciu lat od dnia ich sporządzenia. Propozycja: Sprawozdanie oraz dokumenty, o których mowa w 4 ust. 4, administrator bezpieczeństwa informacji przechowuje przez okres, co najmniej trzech lat od dnia ich sporządzenia. Uzasadnienie: Z czego wynika okres 5 lat? Wymóg przechowywania dokumentacji związanej z systemami zarządzania określony jest na 3 lata (cykl certyfikacji), m.in. w przywoływanym w paragrafie 12 systemie zarządzania bezpieczeństwem informacji wg ISO/IEC 27001. Uwagi PIIT do projektu rozporządzenia MAC Strona 3

Uwaga 3: zmiana w 10 ust. 1 p. 1 Jest: 1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności przedstawia mu do wdrożenia dokumenty usuwające stan niezgodności; Propozycja 1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach, lub o niezgodności stanu faktycznego przetwarzania danych osobowych z dokumentacją lub o nieadekwatności wdrożonych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz działaniach podjętych w celu doprowadzenia ochrony danych osobowych do stanu adekwatności" Uzasadnienie: Sprzeczne z zasadą nadzoru nad dokumentacją wpisaną w par. 8. ABI z zasady nie powinien sam tworzyć dokumentów, które potem ma nadzorować. Trzeba pamiętać, że dokumenty mogą być perfekcyjne, ale niewdrożone lub stosowane, co najmniej niedokładnie, mają nikłą wartość Ustawodawca pokłada wiarę w dokumentację papierową nie przywiązując należytej wagi do analizy ryzyka. Uwaga 4: zmiana w 10 ust. 1 p. 2 Proponujemy usunąć ten punkt, ponieważ zawiera się w istocie w pkt. 1. Brak aktualizacji dokumentacji to niedopracowanie lub brak w dokumentacji. Uwagi PIIT do projektu rozporządzenia MAC Strona 4

Uwaga 5: zmiana w 12. Jest: Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN- ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji. Propozycja: "Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji zgodny z Polską Normą PN-ISO/IEC 27001, pod warunkiem, ze system ten obejmuje swoim zakresem ochronę danych osobowych, a zakres obowiązków i odpowiedzialności administratora bezpieczeństwa informacji obejmuje czynności wskazane w niniejszym rozporządzeniu. Przy wdrażaniu systemu zarządzania bezpieczeństwem informacji należy uwzględnić normy powiązane z PN-ISO/IEC 27001, a w szczególności normę ISO/IEC 27018. Uzasadnienie: Wyrażenie "z uwzględnieniem normy PN-ISO/IEC 27001" jest nieprecyzyjne. Norma ta zawiera wymagania, zatem zgodność z tą normą jest spełnieniem wymagań, które wskazano w tym rozporządzeniu. Ponadto, należy wskazać też na normy powiązane, ale ponieważ one nie zawierają wymagań tylko wytyczne do wdrożenia, to zwrot "z uwzględnieniem" ma uzasadnienie. Należy też uwzględnić normy powiązane z ISO/IEC 27001, a w szczególności normę ISO/IEC 27018:2014, Information technology Security techniques - Code of practice for PII protection in public clouds acting as PII processors, zawierająca wytyczne do wdrożenia zabezpieczeń specyficznych dla obszaru ochrony danych osobowych. Wreszcie ABI może realizować w SZBI różne czynności, ale rozporządzenie powinno nakładać wymaganie, aby zakres obowiązków i odpowiedzialności były zgodne z zakresem opisanym w rozporządzeniu. Uwagi PIIT do projektu rozporządzenia MAC Strona 5

Uwaga 6: zmiana w 12. Proponujemy rozszerzenie zaproponowanego tekstu rozporządzenia. Jest: Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN- ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji. Propozycja: Na końcu paragrafu proponujemy dopisać zdanie: Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacja przetwarzania danych, o których mowa w zdaniu pierwszym, uważa się również za spełnione w zakresie, w jakim administrator danych powierzył przetwarzanie danych podmiotowi, który wdrożył system zarzadzania bezpieczeństwem informacji, o którym mowa w zdaniu poprzednim i na warunkach tam wskazanych. Uzasadnienie: Model chmury [obliczeniowej] został wprowadzony do Programu Zintegrowanej Informatyzacji Państwa (PZIP, uchwała nr 1/2014 Rady Ministrów z dnia 8 stycznia 2014), dokumencie strategicznym wyznaczającym kierunki rozwoju e-administracji. Model ten zyskał na znaczeniu między innymi ze względu na możliwości zmniejszenia kosztów, podniesienia bezpieczeństwa, braku konieczności pozyskiwania bardzo drogich kadr do obsługi systemów informatycznych (w szczególności przez mniejsze i dysponujące mniejszym budżetem JST, których po prostu nie stać na zatrudnienie informatyków; to samo dotyczy szkół, jednostek ochrony zdrowia itd. itp.), a także elastyczności, możliwości szybkiego wdrożenia, lepszej dostępności. Potencjał ten twórcy PZIP podkreślili wskazując wykorzystanie chmury [obliczeniowej], jako pierwszego z kierunków interwencji państwa (pkt. 6 Co robimy Kierunki interwencji). Zaproponowana przez PIIT zmiana ma na celu dostosowanie rozporządzenia do takiego właśnie modelu tworzenia i późniejszej eksploatacji usług e-administracji. Dzięki zaproponowanej poprawce będzie można wykorzystać usługi zewnętrzne, w tym przede wszystkim usługi przetwarzania w chmurze, pod warunkiem wypełnienia przez podmiot, któremu powierzone jest przetwarzanie danych, wymogów związanych z PN-ISO/IEC 27001, pod warunkiem, że system ten obejmuje ochronę danych osobowych. Bez takiego zapisu uruchomienie projektów wskazanych w PZIP np. Państwowej Chmury Obliczeniowej (PCO) czy też Chmury dla JST byłoby praktycznie niewykonalne dla usług, w których przetwarzaniu występowałyby dane osobowe. Uwagi PIIT do projektu rozporządzenia MAC Strona 6

Poniżej załączamy wybrane fragmenty Programu Zintegrowanej Informatyzacji Państwa oraz wskazania do odpowiednich stron (str. 29 i następne) 5.3. Kluczowe działania zintegrowanej informatyzacji Kluczowe działania zintegrowanej informatyzacji, realizowane etapami, w perspektywie do 2020r., wynikające ze złożoności wzajemnych powiązań i zależności pomiędzy poszczególnymi obszarami funkcjonowania administracji, to w szczególności: ( ) uruchomienie Państwowej Chmury Obliczeniowej pozwalającej na efektywne współkorzystanie w modelu usługowym30 z infrastruktury administracji (sieć, serwerownie, serwery, aplikacje, platforma epuap, etc.) na poziomie centralnym oraz regionalnym, realizowane etapowo do 2020 r.; etap pilotażowy do końca 2015 r. Do czasu uruchomienia Państwowej Chmury Obliczeniowej dopuszcza się prowadzenie na szczeblu resortowym działań mających na celu zapewnienie odpowiedniego poziomu infrastruktury na potrzeby budowy e-usług publicznych; (str. 32 podkreślenie PIIT) 3. Redukcja kosztów: po stronie obywateli i przedsiębiorców, w związku z oszczędnością czasu i wprowadzeniem elektronicznej drogi komunikacji z administracją i uproszczeniem procedur, obsługi w kosztach ogółem dzięki optymalnemu wykorzystaniu sprzętu, zasobów ludzkich i finansowych, w szczególności usług infrastrukturalnych w modelu chmury obliczeniowej, dzięki wprowadzeniu zintegrowanej platformy informatycznej usług publicznych, dzięki poprawie relacji między wynikami a nakładami w zakresie świadczenia usług publicznych, dzięki uruchomieniu Państwowej Chmury Obliczeniowej (PCO) poprzez konsolidację obciążenia i używanej przestrzeni dyskowej, serwerowej i sieciowej oraz zmniejszenie sumarycznych kosztów zakupu i utrzymania infrastruktury. (str.35 podkreślenie PIIT) 6. Co zrobimy - kierunki interwencji Realizacja Programu odbywać się będzie poprzez podejmowanie usystematyzowanych działań w czterech następująco określonych kierunkach: 1. ŚWIADCZENIE E-USŁUG PUBLICZNYCH (w szczególności w zakresie: spraw administracyjnych, ochrony zdrowia, wymiaru sprawiedliwości, wspierania przedsiębiorczości oraz prowadzenia działalności gospodarczej i rolniczej, rozliczania podatków, zapewnienia bezpieczeństwa kryzysowego i powiadamiania ratunkowego, efektywniejszego wykorzystania danych przestrzennych i usług infrastruktury informacji przestrzennej, oraz dostarczania usług infrastrukturalnych w modelu chmury); Uwagi PIIT do projektu rozporządzenia MAC Strona 7

(str. 66 i następne podkreślenia PIIT) 6.3.6. Zarządzanie Infrastrukturą Państwo jest właścicielem znacznych zasobów infrastruktury technicznej, która była rozbudowywana na różnych etapach transformacji. Składają się na nią serwerownie wraz z systemami komputerowymi i sieci telekomunikacyjne. Ze zrozumiałych względów zasoby te są niejednolite pod względem technicznym. Z uwagi na różny charakter podmiotów, które nimi dysponują (urzędy i instytucje rządowe, jednostki samorządu terytorialnego, spółki skarbu państwa) i formy własności, wspólne korzystanie z dostępnych zasobów wymaga wyjaśnienia i jednoznacznego określenia warunków, na jakich może to się odbywać. Dotychczasowe próby w tym zakresie wskazują, że określenia warunków rozliczania i wzajemnego regulowania należności za użytkowanie infrastruktury stwarza znaczące problemy i może wymagać zmiany przepisów regulujących sposób użytkowania infrastruktury. Wspólne wykorzystanie dostępnych zasobów i wzajemne świadczenie sobie usług (udostępnianie mocy obliczeniowej oraz elementów sieci) pozwoliłoby na zwiększenie stopnia ich wykorzystania oraz podniesienie poziomu bezpieczeństwa systemu informacyjnego. Działania te początkowo mogą być podejmowane bilateralnie, ale najlepszy efekt będzie możliwy do uzyskania, gdy uwzględni się zasoby największych resortów i instytucji oraz tych, które prowadzą działalność na terenie całego kraju. ( ) WYKORZYSTANIE PRZETWARZANIA W CHMURZE. Stosunkowo nowym zagadnieniem z punktu widzenia infrastruktury teleinformatycznej jest skorzystanie z możliwości, jakie niesie wykorzystanie technologii, czy też raczej biznesowej formy udostępniania zasobów chmury.. W MAC zostało wszczęte postępowanie o udzielenie zamówienia publicznego pt. Ekspertyza możliwości wykorzystania usług przetwarzania w chmurze w sektorze administracji publicznej. Jakkolwiek korzyści ze stosowania chmury wydają się bezsprzeczne, to niezbędne jest określenie, w których obszarach działalności zastosowanie chmury przyniesie największe efekty, a w przypadku, których chmura nie powinna być stosowana np. ze względów bezpieczeństwa. W ramach ekspertyzy zbadane zostaną też wszechstronnie uwarunkowania prawne stosowania chmury w administracji państwowej oraz uwzględnione prace prowadzone z inicjatywy instytucji Unii Europejskiej. Wynik ekspertyzy dostarczy wytycznych i będzie stanowił podstawę do zastosowań chmury w administracji państwowej w szerokim zakresie. Mając na uwadze duże zróżnicowanie w dysponowaniu dostępem do nowoczesnej infrastruktury teleinformatycznej pomiędzy JST, zainicjowane zostały w MAC prace umożliwiające dostarczanie najbardziej potrzebnych usług elektronicznych dla JST funkcjonujących w chmurze, w tym systemy elektronicznego zarządzania dokumentacją, systemy klasy ERP usprawniające zarządzanie urzędami, systemy elektronicznego obiegu dokumentów i inne systemy wspomagające działanie urzędów. Na potrzeby samorządów zostanie przygotowany (we współpracy z przedstawicielami JST) i będzie sukcesywnie rozwijany, pakiet najbardziej potrzebnych usług, udostępnianych im w modelu biznesowym chmury, zarówno typu IaaS, PaaS, jak i SaaS. Zwłaszcza ten ostatni model właśnie przez najmniejsze JST byłby najprawdopodobniej najbardziej poszukiwany. Działania te przyczynią się do ujednolicenia stosowanych rozwiązań informatycznych w całej administracji i upowszechnienia dobrych praktyk. Uwagi PIIT do projektu rozporządzenia MAC Strona 8

Planowana jest budowa Państwowej Chmury Obliczeniowej (PCO), która posłuży instytucjom administracji państwowej, jako środowisko techniczne do budowy, testowania i uruchamiania aplikacji o węższym zakresie zastosowania wytwarzanych w celu świadczenia usług, czy też wspierania działalności podstawowej. Polska obserwuje strategiczne kroki podejmowane przez Komisję Europejską w zakresie zastosowania chmury obliczeniowej do świadczenia usług e-administracji i uczestniczy w podejmowanych działaniach (prace European Cloud Partnership od listopada 2012 r.). Powinno to doprowadzić do opracowania modelu chmury prywatnej (państwowej) administracji publicznej z uwzględnieniem różnych poziomów tejże chmury i procesu przechodzenia od obecnego modelu infrastruktury technologii informacyjnokomunikacyjnych, do rozwiązań z zastosowaniem chmury oraz z uwzględnieniem trwałości projektów realizowanych w obecnym okresie programowania UE. Oczekuje się, że w wyniku prac podjętych z inicjatywy Komisji Europejskiej w latach 2013-2014 zostaną uporządkowane i dopracowane normy dotyczące bezpieczeństwa, interoperacyjności, przenoszenia danych i ich ponownego użycia, ochrony danych osobowych i systemów certyfikacji w zakresie chmury obliczeniowej. Poza tym, sformułowane zostaną bezpieczne i uczciwe warunki umowne o gwarantowanym poziomie usług w chmurze (Service Level Agreement - SLA) w umowach zawieranych między dostawcami usług w chmurze a profesjonalnymi użytkownikami takich usług. We współpracy ze środowiskiem dostawców ma być zainicjowane wypracowanie wspólnych wymogów obowiązujących przy zamówieniach publicznych dotyczących chmury. Wypracowane regulacji prawnych i procedur zastosowania technologii przetwarzania w chmurze pozwoli na bezpieczne jej stosowanie, zapewniając ochronę danych wrażliwych, w tym danych osobowych. Wypracowana zostanie strategia, elastycznie dostosowywana do rozwoju technologicznych rozwiązań oraz zaawansowania prac na poziomie unijnym. (str. 67 podkreślenie PIIT) Mając na względzie efektywność wydatkowania dostępnych funduszy publicznych, tam, gdzie to okaże się zasadne zostanie zastosowana technologia chmury obliczeniowej (np. chmura dla JST). Wydaje się, że podejście takie pozwoli konsolidować inwestycje w budowę infrastruktury teleinformatycznej w sektorze publicznym. (str. 72) Z myślą o najmniej zasobnych samorządach, których nie stać na zbudowanie i utrzymanie warstwy technicznej dla usług elektronicznych zostanie opracowane i udostępnione wspomniane wcześniej rozwiązanie funkcjonujące w obrębie chmury, umożliwiające obsługę jednostki samorządu terytorialnego w niezbędnym zakresie. (str. 80) Planowane do wprowadzenia w drodze ustawy o wykonywaniu zadań publicznych drogą elektroniczną zmiany prawne będą dotyczyć w szczególności następujących rozwiązań: ( ) 6. Określenie zasad przetwarzania przez administrację publiczną w Polsce swoich danych w chmurze. Uwagi PIIT do projektu rozporządzenia MAC Strona 9

(str. 82 podkreślenie PIIT) Docelowo, zainicjowana już współpraca pomiędzy ekspertami MAC i samorządów, ma doprowadzić do opracowania jednolitego katalogu usług oraz integracji platform regionalnych z epuap. JST nieposiadające zasobów na dokonanie zakupu, uzyskają możliwość skorzystania z infrastruktury i rozwiązań, które będą udostępnione w wyniku realizacji projektu Informatyzacja JST z wykorzystaniem technologii przetwarzania w chmurze [obliczeniowej]. (str. 82 podkreślenie PIIT) Szacując środki potrzebne na realizację usług w perspektywie roku 2020, trzeba mieć także na uwadze, że zgłoszone projekty nie zagospodarowują wszystkich rekomendowanych e- usług publicznych wskazanych w PZIP. Ponadto na tym etapie zaawansowania prac, trudno jest precyzyjnie określić wielkość przedsięwzięć ponadsektorowych, mających bezpośredni lub pośredni wpływ na osiągnięcie zakładanego poziomu informatyzacji usług publicznych w kluczowych obszarach oraz zapewnienia odpowiedniego poziomu koordynacji i współpracy ponad-resortowej. Dotyczy to w szczególności zapewnienia bezpieczeństwa systemów teleinformatycznych, horyzontalnego uporządkowania rejestrów publicznych (w tym rejestrów referencyjnych) oraz optymalizacji inwestycji w infrastrukturę publiczną związaną z technologiami przetwarzania i przechowywania danych poprzez wykorzystanie modelu przetwarzania w chmurze. Linki: Informacja o przyjęciu Programu Zintegrowanej Informatyzacji Państwa: https://www.premier.gov.pl/wydarzenia/decyzje-rzadu/uchwala-w-sprawie-przyjecia-programurozwoju-program-zintegrowanej.html Program Zintegrowanej Informatyzacji Państwa: http://mac.bip.gov.pl/programy/2405_programzintegrowanej-informatyzacji-panstwa.html Informacja na stronach MAiC: https://mac.gov.pl/projekty/program-zintegrowanej-informatyzacjipanstwa-do-2020-r Komentarz na stronach U24 Przyjazna strona administracji: http://www.u24.pl/raport-programzintegrowanej-informatyzacji-panstwa/ Uwagi PIIT do projektu rozporządzenia MAC Strona 10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres