W myśl rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności każda jednostka samorządu terytorialnego zobowiązana jest do przestrzegania zasad dotyczących minimalnych wymagań dla rejestrów publicznych
i wymiany informacji w postaci elektronicznej oraz spełnienia minimalnych wymagań dla prawidłowego funkcjonowania systemów teleinformatycznych.

Dokument ten nakłada na działy IT i specjalistów ds. informatyki szereg zobowiązań, dotyczących przede wszystkim bezpieczeństwa

i informatyzacji jednostek realizujących działalność w domenie publicznej.

W rozporządzeniu tym w ramach KRI wyodrębniono 3 najważniejsze dla działów IT i funkcjonowania jednostek zagadnienia; polityka bezpieczeństwa, minimalne wymagania dla systemów informatycznych oraz minimalne wymagania dotyczące bezpieczeństwa sieci informatycznych.

Polityka bezpieczeństwa

Polityka bezpieczeństwa jest tu rozumiana jako zbiór spójnych, precyzyjnych reguł i procedur, według których dana jednostka buduje, zarządza oraz udostępnia zasoby i systemy informacyjne oraz zasoby i systemy informatyczne. Określa ona, które z nich (np. dane osobowe i wrażliwe) i za pomocą jakich narzędzi mają być chronione.

Polityka bezpieczeństwa powinna obejmować możliwe przypadki, w których może dojść do naruszenia bezpieczeństwa (np. nieautoryzowany dostęp, wyciek lub utrata danych) oraz schematy postępowania oraz zapobiegania ponownym przypadkom naruszenia bezpieczeństwa.

Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym, dostępnym w ramach organizacji, znanym i zrozumiałym dla pracowników jednostki. Zasady polityki bezpieczeństwa, o czym warto pamiętać, dotyczą także klientów organizacji.

Minimalne wymagania dla systemów informatycznych oraz wymogi dotyczące bezpieczeństwa w ramach Krajowych Ram Interoperacyjności narzucają na specjalistów IT ogromną ilość norm i zasad, które powinny być stopniowo i według planu wprowadzone w każdej jednostce pożytku publicznego. Ponieważ rozporządzenie z 2012 roku jest aktem wykonawczym, obowiązuje bezwzględnie i podlega okresowym audytom.

Wymagania dotyczące funkcjonowania i bezpieczeństwa sieci informatycznych

Poniżej znajduje się spis najważniejszych wymagań dotyczących funkcjonowania i bezpieczeństwa sieci informatycznych dla jednostek pożytku publicznego:

• bieżąca inwentaryzacja sprzÄ™tu i oprogramowania sÅ‚użącego do przetwarzania informacji oraz kontrola legalnoÅ›ci sprzÄ™tu i oprogramowania
• kontrola uprawnieÅ„ i dziaÅ‚aÅ„ osób zaangażowanych w proces przetwarzania informacji, ustanowienie adekwatnych poziomów dostÄ™pów do danych, bieżące monitorowanie dostÄ™pu do danych
• okresowe analizy ryzyka zwiÄ…zane z dostÄ™pnoÅ›ciÄ… i możliwÄ… utratÄ… poufnych informacji i danych oraz podejmowania dziaÅ‚aÅ„ eliminujÄ…cych ryzyko, adekwatnych do stopnia zagrożenia
• zapewnienie odpowiednich szkoleÅ„ dla osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzglÄ™dnieniem tematyki zwiÄ…zanej z zagrożeniami bezpieczeÅ„stwa informacji, skutkami naruszania zasad bezpieczeÅ„stwa, odpowiedzialnoÅ›ciÄ… prawnÄ…
• stosowanie Å›rodków (programów komputerowych i systemów informatycznych) zapewniajÄ…cych bezpieczeÅ„stwo informacji oraz ochronÄ™ danych przed kradzieżą, nieuprawnionym dostÄ™pem i uszkodzeniem
• wykrywanie prób nieautoryzowanego dostÄ™pu na poziomie systemów operacyjnych, usÅ‚ug sieciowych, programów, aplikacji i plików
• ustanowienie zasad pozwalajÄ…cych na bezpiecznÄ… pracÄ™ na odlegÅ‚ość i przy wykorzystaniu urzÄ…dzeÅ„ mobilnych
• ustanowienie zasad zgÅ‚aszania incydentów naruszenia bezpieczeÅ„stwa oraz wprowadzenie mechanizmów umożliwiajÄ…cych szybkie podjÄ™cie dziaÅ‚aÅ„ naprawczych
• kontrola zgodnoÅ›ci systemów teleinformatycznych z obowiÄ…zujÄ…cymi normami bezpieczeÅ„stwa;
• okresowe audyty wewnÄ™trzne w zakresie bezpieczeÅ„stwa danych i informacji, nie rzadziej niż raz na rok oraz wdrożenie procedur poaudytowych, zgodnych z aktualnymi rozporzÄ…dzeniami

Krajowe Ramy Interoperacyjności w ramach, których powstało niniejsze rozporządzenie, wprowadzają podstawowe regulacje dotyczące informatyzacji i bezpieczeństwa informacji w jednostkach pożytku publicznego - sposób ich realizacji, wybór narzędzi i oprogramowania jest już kwestią wyboru specjalistów IT. Wybierając oprogramowanie watro wybrać jeden, spójny system do zarządzania infrastrukturą IT.