Stanowisko ABW opracowane przez Zespół do spraw Wsparcia

Stanowisko ABW
opracowane przez
Zespół do spraw Wsparcia Przedstawiciela Szefa Agencji Bezpieczeństwa Wewnętrznego
w Komitecie Rady Ministrów do Spraw Cyfryzacji
(19.09.2012 przeniesione na 03.10.2012)
Nazwa projektu dokumentu: Projekt Planu informatyzacji procedur udzielania zamówień publicznych w Polsce.
Punkt X.Y. Agendy
L.p.
1
2
3
Organ
wnoszący
uwagi
ABW
ABW
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
strona 6
Każdy dokument ma jedna z form (pisemna, graficzna,
audialna lub ich kombinacje) oraz postać (papierowa lub
elektroniczna). Ww. pojęcia są stosowane zamiennie
w całym opracowaniu.
W ramach omawiania idei rozwiązania za zasadne
należy uznać uporządkowanie wykorzystywanego
aparatu pojęciowego odnoszącego sie do zmiany
postaci (a nie formy) dokumentacji zamówienia
publicznego.
strona 7
strona 8
Wątpliwości ABW budzi moduł 4, który ma dokonywać
automatycznego badania i oceny ofert oraz wyboru
oferty najkorzystniejszej - sama idea, jakkolwiek
w pełni słuszna i zasadna, wydaje sie być niezwykle
skomplikowana w praktycznej realizacji.
Analogiczne jak w uwadze nr 2 wątpliwości budzi
również moduł 6, którego idee należy uznać za
bezwzględnie słuszna, niemniej małorealizowalną
w obecnych realiach, zwłaszcza w odniesieniu do stron
podmiotowych BIP zamawiających. W chwili obecnej
znakomita większość przedmiotowych usług jest
Mając na względzie pisemną formę składanych
ofert moduł ten musiałby otrzymywać jako wsad
ofertę w postaci możliwej do interpretacji przez
automat programowy bądź tez realizować
zaawansowaną analizę treści.
W ocenie ABW zasadne jest postawienie pytania
czy równolegle nie należałoby uruchomić
projektu odnoszącego sie do dostosowania
stron podmiotowych
BIP
do
współpracy
z proponowanym rozwiązaniem UZP.
Strona 1 / 12
4
5
6
ABW
ABW
ABW
strona 11
strony 29-30
strona 54
realizowana w oparciu o dwuwarstwowe rozwiązania
serwerowe, w których komunikacja w trybie system <->
system nie jest możliwa do wykonania.
Odnosząc sie do w pełni racjonalnej propozycji
zastosowania Profilu Zaufanego ePUAP w ramach
definiowania docelowej funkcjonalności rozwiązania
warto jednak zwrócić uwagę, iż ze względu na
transgraniczny charakter proponowanego systemu
konieczne
będzie
wprowadzenie
mechanizmu
dodatkowego podpisywania (bądź ustanowienia innej
formy zaufania) podpisu składanego z wykorzystaniem
tego mechanizmu.
Przedmiotowa kwestia nie budzi zastrzeżeń
w ujęciu wewnątrzkrajowym, niemniej jednak
wymaga
doprecyzowania
w
wymiarze
paneuropejskim, w ramach którego formą
dopuszczalną i powszechnie uznawaną jest
stosowanie podpisu złożonego z wykorzystaniem
kwalifikowanego certyfikatu.
Przedmiotowy mechanizm, ze względu na
kluczowa role z punktu widzenia spełnienia zasady
wiedzy uzasadnionej, powinien być jednym
z głównych
elementów
gwarantujących
organizacyjne bezpieczeństwo postępowania.
W odniesieniu do przywołanych dyrektyw warto
zwrócić uwagę, iż w ogólnym opisie rozwiązania
brakuje
jasnego
wskazania
mechanizmów
zapewniających poufność dostępu do danych w taki
sposób, aby uniemożliwić zamawiającemu zapoznanie Przedmiotowa uwaga odnosi sie również do opisu
z treścią ofert przed upływem terminu ich wniesienia.
modułów zawartego w części "Wstępne założenia
funkcjonalne".
Niemniej jednak, w ocenie Agencji, przedmiotowa
struktura
powołana
do
życia
w
celu
przeprowadzenia projektu powinna mięć charakter
tymczasowy, zgodny z cyklem życia projektu.
Nawiązując do propozycji powołania dedykowanego Takie podejście uzasadnia określony w materiale
zespołu projektowego ABW pragnie zwrócić uwagę na zakres żądań zespołu, który co do zasady będzie
racjonalność takiego postępowania.
odpowiadał za realizację procesów zarządczych
związanych z prowadzeniem projektu, dodatkowo
wzmocniony wsparciem zewnętrznych doradców
i konsultantów. W projekcie zakłada sie bowiem
powierzenie zadań podstawowych zewnętrznemu
Strona 2 / 12
wykonawcy, co znacząco ogranicza
wewnętrznych zespołów zadaniowych.
7
8
ABW
strona 55
W obszarze wstępnych założeń funkcjonalnych ABW
proponuje rozważenie uwzględnienia nadrzędnego
modułu
procesowego,
odpowiedzialnego
za
modyfikowalne kreowanie czynności wchodzących
w skład procesu związanego z elektroniczną obsługą
zadanego rodzaju zamówienia obsługiwanego docelowo
przez system.
W zakresie definiowania funkcjonalności modułu
integracji z systemami zewnętrznymi, warte rozważenia
wydaje sie również uwzględnienie możliwości
wystawienia otwartych interfejsów komunikacyjnych
dla istniejących juz systemów aukcyjnych, które zostały
przytoczone w opracowaniu (Urząd m.st. Warszawy,
itd.).
liczbę
Pomimo wysokiego poziomu skomplikowania
takiego modułu, inwestycja w ten obszar należy
uznać za zasadną albowiem pozwoli ona
w przyszłości
na
elastyczne
zarządzanie
przebiegiem zamówień w zależności od zmiennego
otoczenia prawnego. Powołany w tym celu moduł
procesowy miąłby charakter nadzorczy, wywołując
w zależności
od
etapu
kolejne
moduły
(komunikacji, składania ofert, itd.).
Przedmiotowe podejście przyniosłoby w ocenie
ABW wiele korzyści, w tym w szczególności:
− pozwoliło na integracje systemu UZP z
istniejącymi platformami elektronicznych
zamówień i aukcji,
− uprościło zbieranie danych statystycznych,
− w szerszym
stopniu wypełniałoby
wymagania
Krajowych
Ram
Interoperacyjności (patrz rozporządzenie
na
podstawie
art.
18
ustawy
o informatyzacji podmiotów realizujących
zadania publiczne).
Strona 3 / 12
Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie opisu, minimalnej funkcjonalności oraz warunków
organizacyjno-technicznych funkcjonowania Platformy Udostępniania On–Line Usług i Zasobów Cyfrowych Rejestrów Medycznych oraz
Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych.
Punkt X.Y. Agendy
L.p.
Organ
wnoszący
uwagi
1
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
Brak uwag.
Strona 4 / 12
Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Transportu, Budownictwa i Gospodarki Morskiej w sprawie lotniczych
urządzeń naziemnych.
Punkt X.Y. Agendy
L.p.
Organ
wnoszący
uwagi
1
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
Brak uwag.
Strona 5 / 12
Nazwa projektu dokumentu: Projekt założeń projektu ustawy o zmianie ustawy - Kodeks postępowania w sprawach o wykroczenia.
Punkt X.Y. Agendy (materiał opiniowany w trybie obiegowym)
L.p.
1
2
Organ
wnoszący
uwagi
ABW
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
Agencja Bezpieczeństwa Wewnętrznego popiera idee
wprowadzenia protokółu elektronicznego. Jednocześnie,
ze względu na kluczowy charakter rozwiązań
technicznych odnoszących sie do zasad zapewnienia
bezpieczeństwa (Poufności, Integralności i Dostępności)
zwraca szczególną uwagę na potrzebę doprecyzowania
przedmiotowych kwestii w proponowanym akcie
wykonawczym do wydania którego projektodawca chce
upoważnić Ministra Sprawiedliwości. Proponowane w
tym
zakresie
przechowywanie
protokołu
elektronicznego na serwerze informatycznym, którego
idea jest z założenia umożliwienie wielodostępu, należy
zaprojektować szczególnie skrupulatnie.
Wątpliwości ABW budzi kwestia docelowego
umożliwienia zapoznania sie z zapisem obrazu za
pośrednictwem systemu teleinformatycznego bez
możliwości skopiowania zapisu. Przedmiotowe
założenie, jakkolwiek w pełni słuszne z punktu widzenia
ergonomii eksploatacji, może sie okazać niezwykle
trudne w praktycznej realizacji, albowiem jakiekolwiek
udzielenie dostępu do treści protokołu elektronicznego
w trybie teletransmisji będzie niezwykle trudne (jeśli nie
Strona 6 / 12
3
ABW
niemożliwe) w zakresie zniwelowania możliwości jego
wtórnego utrwalenia.
W ocenie ABW za zasadne należy uznać uspójnienie
wykorzystywanego aparatu pojęciowego odnoszącego
sie do formy i postaci utrwalanych treści. Protokół może
mięć bowiem jedna z form (pisemna, graficzna,
audialna lub ich kombinacje) oraz postać (papierowa lub
elektroniczna). Ww. pojęcia są stosowane zamiennie
w całym opracowaniu, co pogłębia ich zastosowanie
i interpretacje.
Strona 7 / 12
Nazwa projektu dokumentu: Projekt uchwały Rady Ministrów w sprawie przyjęcia Strategii „Bezpieczeństwo energetyczne i środowisko
– Perspektywa 2020” wraz z projektem Strategii.
Punkt X.Y. Agendy
L.p.
1
Organ
wnoszący
uwagi
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Rozdział
Zielone ICT
Treść uwagi
ABW pragnie wskazać, iż wymieniona w dokumencie
technologia przetwarzania danych w chmurach (z ang.
cloud computing), obok pożytków, niesie ze sobą także
specyficzne zagrożenia dla poufności, integralności oraz
dostępności przetwarzanych w nich danych. Zagrożenia
te wynikają głównie z faktu pozostawania systemów
podbudowujących chmury poza faktyczną kontrolą
wykorzystujących je podmiotów.
Propozycja zmian zapisu
Zastosowanie technologii chmur w administracji
publicznej winno być ograniczone jedynie do
rozwiązań tworzonych specjalnie na potrzeby
administracji publicznej (np. chmura rządowa,
czy chmura danego urzędu), które wykluczałyby
przetwarzanie
danych
w
systemach
teleinformatycznych wyłączonych spod faktycznej
kontroli państwa. Zdaniem ABW, stosowanie
technologii chmury - w której dane przetwarzane
są w nieznanej liczbie lokalizacji, dodatkowo
często umiejscowionych poza granicami kraju,
powoduje realną utratę kompetencji państwa
w zakresie
projektowania,
budowy
oraz
utrzymania
systemów
teleinformatycznych
wykorzystywanych przez administrację publiczną.
W konsekwencji, prowadzi to do obniżenia
poziomu bezpieczeństwa danych przetwarzanych
na potrzeby poprawnego funkcjonowania państwa.
Pośród najistotniejszych zagrożeń związanych
z przetwarzaniem danych w chmurach należy
wskazać:
- zagrożenie nieuprawnionego pozyskiwania oraz
Strona 8 / 12
kopiowania danych przez podmiot zewnętrzny
organizujący chmurę (np. w ramach prac
konserwacyjnych, czy tworzenia zapasowych kopii
bezpieczeństwa),
- brak realnej kontroli nad poziomem
bezpieczeństwa infrastruktury podbudowującej
chmurę oraz jej funkcjonowania,
- zagrożenie współdzielenia infrastruktury chmury
z podmiotami nastawionymi wrogo wobec
działalności państwa, zbliżającymi się w tej
sytuacji do danych administracji publicznej,
- uzależnienie dostępności danych od poprawnego
funkcjonowania chmury, której awarię mogą
wywołać także inni użytkownicy chmury,
- brak gwarancji należytej ochrony prawnej danych
w przypadku ich transgranicznego przetwarzania
(dane przetwarzane w elementach chmury, które
zlokalizowane są poza granicami kraju nie są
objęte prawem Polski),
zagrożenia
związane
uzależnieniem
przetwarzania danych od korzystania z usług
jednego dostawcy – chmura, będąca systemem
stanowiącym własność podmiotu zewnętrznego
wobec państwa nie podlega swobodnym
modyfikacjom w razie konieczności ich
wprowadzenia. Przenoszenie zasobów pomiędzy
chmurami lub też z chmury do systemów
lokalnych może natomiast okazywać się umyślnie
ograniczone technologicznie przez dostawcę
chmury,
Strona 9 / 12
- zagrożenia technologiczne, związane ze
wczesnym stadium rozwoju technologii chmur.
Wskazana kwestia bezpieczeństwa, ograniczająca
zakres stosowania technologii chmur wobec
danych przetwarzanych przez administrację
publiczną, bezwzględnie musi znaleźć swoje
odzwierciedlenie w zapisach Strategii poruszającej
możliwości implementacji technologii chmury.
2
ABW
Rozdział
Zielone ICT
ABW pragnie zwrócić uwagę na fakt, iż zarówno
dokumenty elektroniczne, jak i podpis elektroniczny
stanowią rozwiązania już przyjęte w polskim prawie,
a zatem nie należy pisać w Strategii o zasadności ich
wprowadzenia.
Zamiast „wprowadzania” wskazanych rozwiązań,
należy mówić o możliwości podwyższenia stopnia
faktycznego
wykorzystywania
dokumentów
elektronicznych, czy też podpisu elektronicznego.
Materiał przekazany do KRMC w dniu 18.09.2012
Strona 10 / 12
Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie minimalnych wymagań dla niektórych systemów
teleinformatycznych funkcjonujących w ramach obsługi systemu informacji w ochronie zdrowia.
Punkt X.Y. Agendy
L.p.
Organ
wnoszący
uwagi
1
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
Brak uwag.
Materiał przekazany do KRMC w dniu 18.09.2012
Strona 11 / 12
Nazwa projektu dokumentu: Projekt rozporządzenia Ministra Zdrowia w sprawie Systemu Monitorowania Kosztów Leczenia i Sytuacji
Finansowo-Ekonomicznej Podmiotów Leczniczych.
Punkt X.Y. Agendy
L.p.
Organ
wnoszący
uwagi
1
ABW
Jednostka
redakcyjna, do
której
wnoszone są
uwagi
Treść uwagi
Propozycja zmian zapisu
Brak uwag.
Materiał przekazany do KRMC w dniu 18.09.2012
Strona 12 / 12