Stanowisko ABW opracowane przez Zespół do spraw Wsparcia
Transkrypt
Stanowisko ABW opracowane przez Zespół do spraw Wsparcia
Stanowisko ABW opracowane przez Zespół do spraw Wsparcia Przedstawiciela Szefa Agencji Bezpieczeństwa Wewnętrznego w Komitecie Rady Ministrów do Spraw Cyfryzacji (19.09.2012 przeniesione na 03.10.2012) Nazwa projektu dokumentu: Projekt Planu informatyzacji procedur udzielania zamówień publicznych w Polsce. Punkt X.Y. Agendy L.p. 1 2 3 Organ wnoszący uwagi ABW ABW ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu strona 6 Każdy dokument ma jedna z form (pisemna, graficzna, audialna lub ich kombinacje) oraz postać (papierowa lub elektroniczna). Ww. pojęcia są stosowane zamiennie w całym opracowaniu. W ramach omawiania idei rozwiązania za zasadne należy uznać uporządkowanie wykorzystywanego aparatu pojęciowego odnoszącego sie do zmiany postaci (a nie formy) dokumentacji zamówienia publicznego. strona 7 strona 8 Wątpliwości ABW budzi moduł 4, który ma dokonywać automatycznego badania i oceny ofert oraz wyboru oferty najkorzystniejszej - sama idea, jakkolwiek w pełni słuszna i zasadna, wydaje sie być niezwykle skomplikowana w praktycznej realizacji. Analogiczne jak w uwadze nr 2 wątpliwości budzi również moduł 6, którego idee należy uznać za bezwzględnie słuszna, niemniej małorealizowalną w obecnych realiach, zwłaszcza w odniesieniu do stron podmiotowych BIP zamawiających. W chwili obecnej znakomita większość przedmiotowych usług jest Mając na względzie pisemną formę składanych ofert moduł ten musiałby otrzymywać jako wsad ofertę w postaci możliwej do interpretacji przez automat programowy bądź tez realizować zaawansowaną analizę treści. W ocenie ABW zasadne jest postawienie pytania czy równolegle nie należałoby uruchomić projektu odnoszącego sie do dostosowania stron podmiotowych BIP do współpracy z proponowanym rozwiązaniem UZP. Strona 1 / 12 4 5 6 ABW ABW ABW strona 11 strony 29-30 strona 54 realizowana w oparciu o dwuwarstwowe rozwiązania serwerowe, w których komunikacja w trybie system <-> system nie jest możliwa do wykonania. Odnosząc sie do w pełni racjonalnej propozycji zastosowania Profilu Zaufanego ePUAP w ramach definiowania docelowej funkcjonalności rozwiązania warto jednak zwrócić uwagę, iż ze względu na transgraniczny charakter proponowanego systemu konieczne będzie wprowadzenie mechanizmu dodatkowego podpisywania (bądź ustanowienia innej formy zaufania) podpisu składanego z wykorzystaniem tego mechanizmu. Przedmiotowa kwestia nie budzi zastrzeżeń w ujęciu wewnątrzkrajowym, niemniej jednak wymaga doprecyzowania w wymiarze paneuropejskim, w ramach którego formą dopuszczalną i powszechnie uznawaną jest stosowanie podpisu złożonego z wykorzystaniem kwalifikowanego certyfikatu. Przedmiotowy mechanizm, ze względu na kluczowa role z punktu widzenia spełnienia zasady wiedzy uzasadnionej, powinien być jednym z głównych elementów gwarantujących organizacyjne bezpieczeństwo postępowania. W odniesieniu do przywołanych dyrektyw warto zwrócić uwagę, iż w ogólnym opisie rozwiązania brakuje jasnego wskazania mechanizmów zapewniających poufność dostępu do danych w taki sposób, aby uniemożliwić zamawiającemu zapoznanie Przedmiotowa uwaga odnosi sie również do opisu z treścią ofert przed upływem terminu ich wniesienia. modułów zawartego w części "Wstępne założenia funkcjonalne". Niemniej jednak, w ocenie Agencji, przedmiotowa struktura powołana do życia w celu przeprowadzenia projektu powinna mięć charakter tymczasowy, zgodny z cyklem życia projektu. Nawiązując do propozycji powołania dedykowanego Takie podejście uzasadnia określony w materiale zespołu projektowego ABW pragnie zwrócić uwagę na zakres żądań zespołu, który co do zasady będzie racjonalność takiego postępowania. odpowiadał za realizację procesów zarządczych związanych z prowadzeniem projektu, dodatkowo wzmocniony wsparciem zewnętrznych doradców i konsultantów. W projekcie zakłada sie bowiem powierzenie zadań podstawowych zewnętrznemu Strona 2 / 12 wykonawcy, co znacząco ogranicza wewnętrznych zespołów zadaniowych. 7 8 ABW strona 55 W obszarze wstępnych założeń funkcjonalnych ABW proponuje rozważenie uwzględnienia nadrzędnego modułu procesowego, odpowiedzialnego za modyfikowalne kreowanie czynności wchodzących w skład procesu związanego z elektroniczną obsługą zadanego rodzaju zamówienia obsługiwanego docelowo przez system. W zakresie definiowania funkcjonalności modułu integracji z systemami zewnętrznymi, warte rozważenia wydaje sie również uwzględnienie możliwości wystawienia otwartych interfejsów komunikacyjnych dla istniejących juz systemów aukcyjnych, które zostały przytoczone w opracowaniu (Urząd m.st. Warszawy, itd.). liczbę Pomimo wysokiego poziomu skomplikowania takiego modułu, inwestycja w ten obszar należy uznać za zasadną albowiem pozwoli ona w przyszłości na elastyczne zarządzanie przebiegiem zamówień w zależności od zmiennego otoczenia prawnego. Powołany w tym celu moduł procesowy miąłby charakter nadzorczy, wywołując w zależności od etapu kolejne moduły (komunikacji, składania ofert, itd.). Przedmiotowe podejście przyniosłoby w ocenie ABW wiele korzyści, w tym w szczególności: − pozwoliło na integracje systemu UZP z istniejącymi platformami elektronicznych zamówień i aukcji, − uprościło zbieranie danych statystycznych, − w szerszym stopniu wypełniałoby wymagania Krajowych Ram Interoperacyjności (patrz rozporządzenie na podstawie art. 18 ustawy o informatyzacji podmiotów realizujących zadania publiczne). Strona 3 / 12 Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie opisu, minimalnej funkcjonalności oraz warunków organizacyjno-technicznych funkcjonowania Platformy Udostępniania On–Line Usług i Zasobów Cyfrowych Rejestrów Medycznych oraz Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych. Punkt X.Y. Agendy L.p. Organ wnoszący uwagi 1 ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu Brak uwag. Strona 4 / 12 Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Transportu, Budownictwa i Gospodarki Morskiej w sprawie lotniczych urządzeń naziemnych. Punkt X.Y. Agendy L.p. Organ wnoszący uwagi 1 ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu Brak uwag. Strona 5 / 12 Nazwa projektu dokumentu: Projekt założeń projektu ustawy o zmianie ustawy - Kodeks postępowania w sprawach o wykroczenia. Punkt X.Y. Agendy (materiał opiniowany w trybie obiegowym) L.p. 1 2 Organ wnoszący uwagi ABW ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu Agencja Bezpieczeństwa Wewnętrznego popiera idee wprowadzenia protokółu elektronicznego. Jednocześnie, ze względu na kluczowy charakter rozwiązań technicznych odnoszących sie do zasad zapewnienia bezpieczeństwa (Poufności, Integralności i Dostępności) zwraca szczególną uwagę na potrzebę doprecyzowania przedmiotowych kwestii w proponowanym akcie wykonawczym do wydania którego projektodawca chce upoważnić Ministra Sprawiedliwości. Proponowane w tym zakresie przechowywanie protokołu elektronicznego na serwerze informatycznym, którego idea jest z założenia umożliwienie wielodostępu, należy zaprojektować szczególnie skrupulatnie. Wątpliwości ABW budzi kwestia docelowego umożliwienia zapoznania sie z zapisem obrazu za pośrednictwem systemu teleinformatycznego bez możliwości skopiowania zapisu. Przedmiotowe założenie, jakkolwiek w pełni słuszne z punktu widzenia ergonomii eksploatacji, może sie okazać niezwykle trudne w praktycznej realizacji, albowiem jakiekolwiek udzielenie dostępu do treści protokołu elektronicznego w trybie teletransmisji będzie niezwykle trudne (jeśli nie Strona 6 / 12 3 ABW niemożliwe) w zakresie zniwelowania możliwości jego wtórnego utrwalenia. W ocenie ABW za zasadne należy uznać uspójnienie wykorzystywanego aparatu pojęciowego odnoszącego sie do formy i postaci utrwalanych treści. Protokół może mięć bowiem jedna z form (pisemna, graficzna, audialna lub ich kombinacje) oraz postać (papierowa lub elektroniczna). Ww. pojęcia są stosowane zamiennie w całym opracowaniu, co pogłębia ich zastosowanie i interpretacje. Strona 7 / 12 Nazwa projektu dokumentu: Projekt uchwały Rady Ministrów w sprawie przyjęcia Strategii „Bezpieczeństwo energetyczne i środowisko – Perspektywa 2020” wraz z projektem Strategii. Punkt X.Y. Agendy L.p. 1 Organ wnoszący uwagi ABW Jednostka redakcyjna, do której wnoszone są uwagi Rozdział Zielone ICT Treść uwagi ABW pragnie wskazać, iż wymieniona w dokumencie technologia przetwarzania danych w chmurach (z ang. cloud computing), obok pożytków, niesie ze sobą także specyficzne zagrożenia dla poufności, integralności oraz dostępności przetwarzanych w nich danych. Zagrożenia te wynikają głównie z faktu pozostawania systemów podbudowujących chmury poza faktyczną kontrolą wykorzystujących je podmiotów. Propozycja zmian zapisu Zastosowanie technologii chmur w administracji publicznej winno być ograniczone jedynie do rozwiązań tworzonych specjalnie na potrzeby administracji publicznej (np. chmura rządowa, czy chmura danego urzędu), które wykluczałyby przetwarzanie danych w systemach teleinformatycznych wyłączonych spod faktycznej kontroli państwa. Zdaniem ABW, stosowanie technologii chmury - w której dane przetwarzane są w nieznanej liczbie lokalizacji, dodatkowo często umiejscowionych poza granicami kraju, powoduje realną utratę kompetencji państwa w zakresie projektowania, budowy oraz utrzymania systemów teleinformatycznych wykorzystywanych przez administrację publiczną. W konsekwencji, prowadzi to do obniżenia poziomu bezpieczeństwa danych przetwarzanych na potrzeby poprawnego funkcjonowania państwa. Pośród najistotniejszych zagrożeń związanych z przetwarzaniem danych w chmurach należy wskazać: - zagrożenie nieuprawnionego pozyskiwania oraz Strona 8 / 12 kopiowania danych przez podmiot zewnętrzny organizujący chmurę (np. w ramach prac konserwacyjnych, czy tworzenia zapasowych kopii bezpieczeństwa), - brak realnej kontroli nad poziomem bezpieczeństwa infrastruktury podbudowującej chmurę oraz jej funkcjonowania, - zagrożenie współdzielenia infrastruktury chmury z podmiotami nastawionymi wrogo wobec działalności państwa, zbliżającymi się w tej sytuacji do danych administracji publicznej, - uzależnienie dostępności danych od poprawnego funkcjonowania chmury, której awarię mogą wywołać także inni użytkownicy chmury, - brak gwarancji należytej ochrony prawnej danych w przypadku ich transgranicznego przetwarzania (dane przetwarzane w elementach chmury, które zlokalizowane są poza granicami kraju nie są objęte prawem Polski), zagrożenia związane uzależnieniem przetwarzania danych od korzystania z usług jednego dostawcy – chmura, będąca systemem stanowiącym własność podmiotu zewnętrznego wobec państwa nie podlega swobodnym modyfikacjom w razie konieczności ich wprowadzenia. Przenoszenie zasobów pomiędzy chmurami lub też z chmury do systemów lokalnych może natomiast okazywać się umyślnie ograniczone technologicznie przez dostawcę chmury, Strona 9 / 12 - zagrożenia technologiczne, związane ze wczesnym stadium rozwoju technologii chmur. Wskazana kwestia bezpieczeństwa, ograniczająca zakres stosowania technologii chmur wobec danych przetwarzanych przez administrację publiczną, bezwzględnie musi znaleźć swoje odzwierciedlenie w zapisach Strategii poruszającej możliwości implementacji technologii chmury. 2 ABW Rozdział Zielone ICT ABW pragnie zwrócić uwagę na fakt, iż zarówno dokumenty elektroniczne, jak i podpis elektroniczny stanowią rozwiązania już przyjęte w polskim prawie, a zatem nie należy pisać w Strategii o zasadności ich wprowadzenia. Zamiast „wprowadzania” wskazanych rozwiązań, należy mówić o możliwości podwyższenia stopnia faktycznego wykorzystywania dokumentów elektronicznych, czy też podpisu elektronicznego. Materiał przekazany do KRMC w dniu 18.09.2012 Strona 10 / 12 Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie minimalnych wymagań dla niektórych systemów teleinformatycznych funkcjonujących w ramach obsługi systemu informacji w ochronie zdrowia. Punkt X.Y. Agendy L.p. Organ wnoszący uwagi 1 ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu Brak uwag. Materiał przekazany do KRMC w dniu 18.09.2012 Strona 11 / 12 Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie Systemu Monitorowania Kosztów Leczenia i Sytuacji Finansowo-Ekonomicznej Podmiotów Leczniczych. Punkt X.Y. Agendy L.p. Organ wnoszący uwagi 1 ABW Jednostka redakcyjna, do której wnoszone są uwagi Treść uwagi Propozycja zmian zapisu Brak uwag. Materiał przekazany do KRMC w dniu 18.09.2012 Strona 12 / 12