Projekt 28-03-2011 ROZPORZDZENIE RADY MINISTRW z dnia 2011 r.

. w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagao dla rejestrw publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagao dla systemw teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. Nr 64, poz. 565, z pn. zm. ) zarzdza si, co nastpuje: 1. Rozporzdzenie okrela: 1) Krajowe Ramy Interoperacyjnoci; 2) minimalne wymagania dla rejestrw publicznych i wymiany informacji w postaci elektronicznej; 3) minimalne wymagania dla systemw teleinformatycznych, w tym: a) specyfikacj formatw danych oraz protokow komunikacyjnych i szyfrujcych, ktre maj byd stosowane w oprogramowaniu interfejsowym, b) sposoby zapewnienia bezpieczeostwa przy wymianie informacji, c) standardy techniczne zapewniajce wymian informacji z udziaem podmiotw publicznych z uwzgldnieniem wymiany transgranicznej, d) sposoby zapewnienia dostpu do zasobw informacji podmiotw publicznych dla osb niepenosprawnych. 2. Terminy uyte w rozporzdzeniu oznaczaj: 1) aktywa wszystko, co ma wartod materialn lub niematerialn dla podmiotu publicznego, inaczej zasoby; 2) architektura systemu teleinformatycznego opis skadnikw systemu teleinformatycznego, powizao i relacji pomidzy tymi skadnikami oraz procesw przebiegajcych w systemie; 3) autentycznod waciwod polegajca na tym, e pochodzenie lub zawartod danych opisujcych obiekt s takie, jak deklarowane; 4) dane referencyjne dane opisujce cech informacyjn obiektu pierwotnie wprowadzone do rejestru publicznego w wyniku okrelonego zdarzenia z domniemania opatrzone atrybutem autentycznoci; 5) dostpnod moliwod korzystania z zasobu przez upowanione podmioty w sposb nieograniczony, w ramach przyznanych uprawnieo; 6) integralnod waciwod polegajca na zapewnieniu dokadnoci i kompletnoci aktyww; 7) interesariusz osob lub podmiot posiadajcy interes prawny albo faktyczny w sprawach interoperacyjnoci; 8) model architektury formalny opis architektury systemu teleinformatycznego;
1)

1)

zmiany wymienionej ustawy zostay ogoszone w Dz. U. z 2006 r. Nr 12, poz. 65 i Nr 73, poz. 501, z 2008 r. Nr 127, poz. 817, z 2009 r. Nr 157, poz. 1241 oraz z 2010 r. Nr 40, poz. 230, Nr 167 poz. 1131 i Nr 182, poz. 1228.

9) model usugowy model architektury, w ktrym na potrzeby uytkownikw zdefiniowano stanowice odrbn caod funkcje systemu teleinformatycznego (usuga sieciowa), oraz opisano sposb korzystania z tych funkcji, inaczej system zorientowany na usugi (System Oriented Architecture - SOA); 10) nieodpatne oprogramowanie oprogramowanie udostpniane przez waciwy podmiot autorskich praw majtkowych na warunkach okrelonych przez ten podmiot, bez pobierania opaty za uytkowanie tego oprogramowania; 11) niezaprzeczalnod brak moliwoci wyparcia si swego uczestnictwa w caoci lub w czci wymiany danych przez uczestnika tej wymiany; 12) obiekt przedmiot opisu w rejestrze publicznym; 13) obiekt przestrzenny abstrakcyjn reprezentacj przedmiotu, zjawiska fizycznego lub zdarzenia zwizanego z okrelonym miejscem lub obszarem geograficznym; 14) podatnod systemu teleinformatycznego waciwod systemu teleinformatycznego, ktra moe byd wykorzystana przez co najmniej jedno zagroenie; 15) podmiot osob prawn, jednostk organizacyjn nie posiadajc osobowoci prawnej albo organ administracji publicznej; 16) poufnod waciwod zapewniajca, e informacja nie jest udostpniana lub wyjawiana nieupowanionym osobom fizycznym, podmiotom lub procesom; 17) polityka bezpieczeostwa informacji zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeostwa, wraz z ich planem wdroenia i egzekwowania; 18) rekomendacja interoperacyjnoci uzgodnienie przyjte bez stanowiska sprzeciwu pomidzy interesariuszami regulujce na poziomie organizacyjnym, semantycznym lub technologicznym jaki aspekt interoperacyjnoci; 19) repozytorium rekomendacji interoperacyjnoci czd zasobw ePUAP przeznaczona do udostpniania rekomendacji interoperacyjnoci; 20) rozliczalnod waciwod systemu pozwalajca przypisad okrelone dziaanie w systemie do osoby fizycznej lub procesu oraz umiejscowid je w czasie; 21) usuga sieciowa waciwod systemu teleinformatycznego polegajca na powtarzalnym wykonywaniu przez ten system z gry okrelonych funkcji po otrzymaniu za pomoc sieci teleinformatycznej danych uporzdkowanych w okrelonej strukturze; 22) ustawa ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne; 23) wzr dokumentu elektronicznego wzr, o ktrym mowa w art. 19b ustawy; 24) zagroenie systemu teleinformatycznego potencjalna przyczyna niepodanego zdarzenia, ktra moe wywoad szkod w systemie teleinformatycznym. 3. 1. Krajowe Ramy Interoperacyjnoci okrelaj w szczeglnoci: 1) sposoby postpowania podmiotu realizujcego zadania publiczne w zakresie doboru rodkw, metod i standardw wykorzystywanych do ustanowienia, wdroenia, eksploatacji,

monitorowania,

przegldu,

utrzymania

udoskonalania

systemu

teleinformatycznego

wykorzystywanego do realizacji zadao tego podmiotu oraz procedur organizacyjnych, majce na celu: a) zapewnienie obywatelom oraz podmiotom gospodarczym dostpnoci w postaci elektronicznej usug wiadczonych przez podmioty realizujce zadania publiczne , b) zwikszenie efektywnoci usug wiadczonych przez administracj publiczn, c) zapewnienie obywatelom i podmiotom gospodarczym zmniejszenia obcieo zwizanych z realizacj uprawnieo i obowizkw przewidzianych w przepisach odrbnych, d) zapewnienie podmiotom publicznym redukcji kosztw funkcjonowania, e) f) zapewnienie racjonalnego gospodarowania funduszami publicznymi, zapewnienie swobody gospodarczej i rwnego dostpu do rynku informatycznego w zakresie usug i dostaw podczas udzielania zamwieo publicznych dla wszystkich jego uczestnikw , g) efektywna realizacja drog elektroniczn ponadgranicznych usug administracji publicznej;

2) okrelenie sposobu postpowania w zakresie przejrzystego wyboru norm, standardw i rekomendacji w zakresie interoperacyjnoci semantycznej, organizacyjnej oraz technologicznej, z zapewnieniem zasady neutralnoci technologicznej. 2. Na Krajowe Ramy Interoperacyjnoci skadaj si w szczeglnoci: 1) sposb osigania interoperacyjnoci ; 2) architektura systemw teleinformatycznych podmiotw realizujcych zadania publiczne; 3) repozytorium rekomendacji interoperacyjnoci na ePUAP. 4. 1. Interoperacyjnod osiga si poprzez: 1) ujednolicenie, rozumiane jako zastosowanie tego samego typu sprztu, oprogramowania, tych samych standardw, polityk, procedur i norm przez rne podmioty realizujce zadania publiczne; 2) wymiennod, rozumian w ten sposb, e jeden produkt, proces lub usuga mog byd zastpione innymi bez zakcenia wymiany informacji pomidzy podmiotami realizujcymi zadania publiczne lub pomidzy tymi podmiotami a ich klientami, przy jednoczesnym spenieniu wszystkich wymagao funkcjonalnych i pozafunkcjonalnych wsppracujcych systemw; 3) zgodnod, rozumian jako przydatnod produktw, procesw lub usug przeznaczonych do wsplnego uytkowania, pod specyficznymi warunkami zapewniajcymi spenienie istotnych wymagao i przy braku niepodanych oddziaywao. 2. Sposb osigania interoperacyjnoci poprzez zastosowanie regu okrelonych w ust. 1 powinien byd zaleny od okolicznoci wynikajcych z szacowania ryzyka oraz z waciwoci projektowanego systemu teleinformatycznego, jego zasigu oraz dostpnych rozwizao na rynku dostaw i usug w zakresie informatyki. 3. Zastosowany przez podmiot realizujcy zadania publiczne sposb osignicia interoperacyjnoci nie uchybia przepisom prawa zamwieo publicznych i nie moe naruszad zasady neutralnoci technologicznej. 5. 1. Podmioty realizujce zadania publiczne stosuj rozwizania z zakresu interoperacyjnoci na poziomie organizacyjnym, semantycznym i technologicznym.

2. Interoperacyjnod na poziomie organizacyjnym osigana jest w szczeglnoci przez: 1) informowanie przez podmioty realizujce zadania publiczne o sposobie dostpu oraz zakresie uytkowym serwisw usug realizowanych przez te podmioty; 2) wskazanie przez ministra waciwego do spraw informatyzacji miejsca przeznaczonego do publikacji informacji o ktrych mowa w pkt 1; 3) stosowanie przez podmioty realizujce zadania publiczne uzgodnionych i opublikowanych na ePUAP przez ministra waciwego do spraw informatyzacji rekomendacji dotyczcych rozwizao na poziomie semantycznym i technologicznym, , wypracowanych na zasadzie konsensusu w jawnym i otwartym procesie uzgodnieo z moliwie szerokim gronem interesariuszy; 4) standaryzacj i ujednolicenie procedur z uwzgldnieniem potrzeb wynikajcych z informatyzacji podmiotu; 5) publikowanie i uaktualnianie przez podmiot realizujcy zadania publiczne, w Biuletynie Informacji Publicznej, opisw procedur obowizujcych przy zaatwianiu spraw drog elektroniczn z zakresu jego waciwoci. 3. Interoperacyjnod na poziomie semantycznym osigana jest w szczeglnoci przez: 1) stosowanie struktur danych i znaczenia danych zawartych w tych strukturach, okrelonych w niniejszym rozporzdzeniu oraz w rekomendacjach interoperacyjnoci publikowanych na ePUAP; 2) stosowanie w rejestrach prowadzonych przez podmioty publiczne odwoao do rejestrw zawierajcych dane referencyjne w zakresie niezbdnym do realizacji zadao. 4. Interoperacyjnod na poziomie technologicznym osigana jest w szczeglnoci poprzez: 1) stosowanie rozwizao zawartych w przepisach 10 14; 2) stosowanie regulacji zawartych w przepisach odrbnych, a w przypadku ich braku Polskich Norm, norm midzynarodowych, a take rekomendacji interoperacyjnoci publikowanych na ePUAP lub standardw uznanych w drodze dobrej praktyki przez organizacje midzynarodowe. 5a. 1. Rekomendacje publikowane w repozytorium rekomendacji interoperacyjnoci oznaczone s w szczeglnoci: 1) nazw; 2) opisem; 3) wersj; 4) dat i czasem publikacji; 5) statusem obowizywania; 6) identyfikatorem osoby publikujcej. 2. Opublikowana rekomendacja nie moe byd usunita z repozytorium. 6. 1. Dla systemw teleinformatyczny sucy do realizacji zadao publicznych naley przyjd rozwizania oparte na modelu usugowym. 2. Do opisu protokw i struktur wymiany danych usugi sieciowej wykorzystuje si Web Services Description Language (WSDL).

3. Organ podmiotu udostpniajcego usug sieciow przekazuje opis, o ktrym mowa w ust. 2, do repozytorium rekomendacji interoperacyjnoci. 4. W przypadkach uzasadnionych specyfik podmiotu publicznego lub wiadczonych przez niego usug dopuszcza si inny model architektury. 7. Minister waciwy do spraw informatyzacji zapewnia: 1) realiozacj publicznej dyskusji nad rekomendacjami interoperacyjnoci z zachowaniem zasady neutralnoci technologicznej oraz zgodnoci z normami zatwierdzonymi przez krajow jednostk normalizacyjn lub normami albo standardami rekomendowanymi lub ustalanymi jako obowizujce przez organy Unii Europejskiej; 2) prowadzenie repozytorium rekomendacji interoperacyjnoci. 8. 1. W rejestrach publicznych wyrnia si w szczeglnoci nastpujce typy obiektw: 1) osoba fizyczna posiadajca nadany numer PESEL; 2) podmiot; 3) obiekt przestrzenny. 2. Dla kadego obiektu, o ktrym mowa w ust. 1, w obrbie danego typu, nadaje si unikatowy identyfikator. 3 Struktur identyfikatorw, o ktrych mowa w ust. 2 okrela zacznik nr 1 rozporzdzenia. 4. Podmioty realizujce zadania publiczne z wykorzystaniem wymiany informacji za pomoc teletransmisji danych lub za pomoc pism w formie dokumentw elektronicznych sporzdzonych wedug wzorw elektronicznych, w ktrych maj zastosowanie obiekty, o ktrych mowa w ust. 1, stosuj struktur danych cech informacyjnych tych obiektw zgodn ze struktur publikowan przez ministra waciwego do spraw informatyzacji w postaci schematw XML w repozytorium rekomendacji interoperacyjnoci. 5. Struktura, o ktrej mowa w ust. 4, zawiera w szczeglnoci nazwy i zakresy danych cech informacyjnych obiektw. 6. W przypadkach uzasadnionych specyfik rejestru prowadzonego przez podmiot realizujcy zadanie publiczne moe byd zastosowany podzbir cech informacyjnych obiektu, z zachowaniem typu i zakresu danej okrelonej w schemacie lub rejestr moe byd rozszerzony o dodatkowe cechy informacyjne. 7. W przypadku gdy podmiot publiczny prowadzi rejestr obejmujcy osoby fizyczne nieposiadajce nadanego numeru PESEL identyfikacja takiej osoby odbywa si wedug cechy informacyjnej waciwej dla danego rejestru. 8. Struktury danych dodatkowych cech informacyjnych musz byd zgoszone do repozytorium rekomendacji interoperacyjnoci. 9. . Minister waciwy do spraw informatyzacji publikuje na ePUAP schemat XML (XML schema) struktury danych cech informacyjnych obiektw, o ktrych mowa w ust. 1. 10. Organy wadzy publicznej prowadzce rejestry zawierajce obiekty inne ni wymienione w 8 ust. 1 wnioskuj do ministra waciwego do spraw informatyzacji o opublikowanie w ePUAP schematu XML (XML schema) struktur danych cech informacyjnych tych obiektw. 9. (puste)

 10. 1. Systemy teleinformatyczne, uywane przez podmioty realizujce zadania publiczne, projektuje si, wdraa oraz eksploatuje z uwzgldnieniem ich funkcjonalnoci, niezawodnoci, uywalnoci, wydajnoci, przenoszalnoci i pielgnowalnoci, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardw i metodyk. 2. Zarzdzanie usugami realizowanymi przez systemy teleinformatyczne, o ktrych mowa w ust. 1, w szczeglnoci polega na zarzdzaniu: 1) incydentem rozumianym jako przywrcenie normalnego dziaania usugi w moliwie jak najkrtszym czasie, minimalizujce zakcenia w pracy usugodawcy w taki sposb, aby zapewnid osignicie moliwie najwyszego poziomu dostpnoci usugi oraz utrzymanie gwarantowanego poziomu usugi; 2) problemem rozumianym jako znalezienie przyczyny incydentu i sposobu na przywrcenie poprawnego dziaania usugi poprzez usunicie przyczyny incydentu.; 3) wersj rozumianym jako planowanie i nadzorowanie pomylnych wdroeo nowych wersji oprogramowania oraz zmian wersji oprogramowania jak rwnie zwizanego z tym sprztu, dokumentacji i usug; 4) dostpnoci usug rozumianym jako podejmowanie dziaao zapewniajcych, e usuga jest dostpna co najmniej na poziomie zdefiniowanym w dokumentacji; 5) cigoci usug rozumianym jako wsparcie procesu cigoci realizacji zadao w podmiocie realizujcym zadania publiczne poprzez przywrcenie wiadczenia usug w wymaganym i uzgodnionym czasie; 6) pojemnoci rozumianym jako dziaania zapewniajce, e zasoby tworzce system teleinformatyczny odpowiadaj rosncym wymaganiom.; 7) konfiguracj rozumianym jako dziaania suce wprowadzaniu, przechowywaniu i udostpnianiu informacji o konfiguracji systemu teleinformatycznego; 8) zmian rozumianym jako dziaania zapewniajce, e dla wszystkich zmian zostay przyjte i s stosowane standardowe metody, procesy i procedury w celu zapewnienia maksymalnej skutecznoci i efektywnoci wprowadzania zmian.; 9) poziomem usug rozumianym jako utrzymanie jakoci usug przez stay cykl uzgadniania, monitorowania, raportowania i przegldu ich parametrw oraz przez inicjowanie dziaao w celu likwidacji nieakceptowanego poziomu jakoci wiadczonych usug; 10) bezpieczeostwem rozumianym jako dziaania zgodnie z zasadami gwarantujcymi tak eksploatacj infrastruktury informatycznej, aby zapewnid bezpieczeostwo informacji rozumiane jako poufnod, integralnod i dostpnod, przy uwzgldnieniu autentycznoci, rozliczalnoci, niezaprzeczalnoci i niezawodnoci. 3. Wymagania okrelone w ust. 1 i 2 uznaje si za spenione jeli projektowanie, wdraanie, eksploatowanie, monitorowanie, przegldanie, utrzymanie i udoskonalanie zarzdzania usug podmiotu realizujcego zadanie publiczne odbywaj si z uwzgldnieniem Polskich Norm: PN-ISO/IEC 20000-1:2007 Technika informatyczna Zarzdzanie usugami Czd 1: Specyfikacja, PN-ISO/IEC 20000-2:2007 Technika

informatyczna Zarzdzanie usugami Czd 2: Reguy postpowania wraz z normami uzupeniajcymi lub norm je zastpujcych. 11. 1. Systemy teleinformatyczne uywane przez podmioty realizujce zadania publiczne wyposaa si w skadniki sprztowe lub oprogramowanie umoliwiajce wymian danych z innymi systemami teleinformatycznymi za pomoc protokow komunikacyjnych i szyfrujcych okrelonych przez normy, standardy lub rekomendacje ustanowione przez krajow jednostk normalizacyjn lub jednostk normalizacyjn Unii Europejskiej. 2. W przypadku, gdy w danej sprawie brak jest norm lub standardw, o ktrych mowa w ust. 1, stosuje si standardy uznane na poziomie midzynarodowym, w szczeglnoci opracowane przez: 1) Internet Engineering Task Force (IETF) i publikowane w postaci Request For Comments (RFC), 2) World Wide Web Consortium (W3C) i publikowane w postaci W3C Recommendation (REC) - adekwatnie do potrzeb wynikajcych z realizowanych zadao oraz biecego stanu technologii informatycznych. 3. Informacj o dostpnoci opisw standardw, o ktrych mowa w ust. 2, minister waciwy do spraw informatyzacji publikuje w Biuletynie Informacji Publicznej.

11a 1. Kodowanie znakw w dokumentach wysyanych z systemw teleinformatycznych podmiotw realizujcych zadania publiczne lub odbieranych przez takie systemy, take w odniesieniu do informacji wymienianej przez te systemy z innymi systemami na drodze teletransmisji, o ile wymiana ta ma charakter wymiany znakw, odbywa si wedug standardu Unicode UTF-8 okrelonego przez norm ISO/IEC 10646:2003 Information technology Universal Multiple-Octet Coded Character Set wraz z normami uzupeniajcymi lub norm j zastpujc. 2. W uzasadnionych przypadkach dopuszcza si kodowanie znakw wedug standardu Unicode UTF-16 okrelonego przez norm, o ktrej mowa w ust. 1. 3. Zastosowanie kodowania, o ktrym mowa w ust. 2 nie moe negatywnie wpywad na wspprac z systemami teleinformatycznymi uywajcymi kodowania okrelonego w ust. 1. 12. 1. Jeeli dla pisma w formie dokumentu elektronicznego sucego do procedowania danej sprawy nie ustalono wzoru dokumentu elektronicznego lub nie ustanowiono rekomendacji interoperacyjnoci, systemy teleinformatyczne uywane przez podmioty realizujce zadania publiczne, niezalenie od wymagao okrelonych w zaczniku nr 2, umoliwiaj przyjmowanie dokumentw w postaci elektronicznej w formatach plikw okrelonych w zaczniku nr 3, , jeeli jest dla nich dostpne nieodpatne oprogramowanie suce do ich odczytania. 2. Systemy teleinformatyczne podmiotw realizujcych zadania publiczne powinny udostpniad zasoby informacyjne co najmniej w jednym z formatw plikw okrelonych w zaczniku nr 2 do rozporzdzenia. 13. 1. W systemie teleinformatycznym podmiotu sucym do realizacji zadania publicznego naley zapewnid spenienie przez ten system wymagao Web Content Accessibility Guidelines (WCAG 2.0) na poziomie AA. 2. Lista wymagao o ktrych mowa w ust. 1 stanowi zacznik nr 4.

 14. 1. Podmiot realizujcy zadania publiczne opracowuje i ustanawia, wdraa i eksploatuje, monitoruje i przeglda oraz utrzymuje i doskonali system zarzdzania bezpieczeostwem informacji zapewniajcy poufnod, dostpnod i integralnod informacji z uwzgldnieniem takich atrybutw jak autentycznod, rozliczalnod, niezaprzeczalnod i niezawodnod. 2. W szczeglnoci zarzdzanie bezpieczeostwem informacji polega na: 1) wspieraniu przez kierownictwo podmiotu dziaao zmierzajcych do zapewnienia bezpieczeostwa o ktrych mowa w pkt 2-15; 2) tworzeniu regulacji wewntrznych adekwatnych do zadao podmiotu i zmieniajcego si otoczenia; 3) utrzymywaniu w aktualnoci inwentaryzacji sprztu i oprogramowania sucego do przetwarzania informacji obejmujcej ich rodzaj i konfiguracj; 4) analizowaniu ryzyka utraty integralnoci, dostpnoci lub poufnoci informacji i podejmowaniu dziaao minimalizujcych to ryzyko; 5) wyznaczeniu osobom zaangaowanym w proces przetwarzania informacji, odpowiednio do realizowanych przez nie zadao, obowizkw majcych na celu zapewnienie bezpieczeostwa informacji oraz nadawanie stosownych uprawnieo; 6) 7) zmianie uprawnieo, niezwocznie po zmianie zadao osb o ktrych mowa w pkt 5, szkoleniu osb zaangaowanych w proces przetwarzania informacji w taki sposb aby byy im znane: a) zagroenia bezpieczeostwa informacji, b) skutki wynikajce z naruszenia bezpieczeostwa informacji w tym odpowiedzialnod prawna, c) uywane rodki zapewniajce bezpieczeostwo informacji, w tym urzdzenia i oprogramowanie minimalizujce ryzyko bdw ludzkich; 8) zapewnieniu ochrony przetwarzanych informacji przed kradzie, nieuprawnionym dostpem, uszkodzeniami lub zakceniami, w tym: a) monitorowaniu dostpu do informacji, b) wykrywaniu nieautoryzowanych dziaao zwizanych z przetwarzaniem informacji, c) zapobieganiu nieautoryzowanemu dostpowi na poziomie systemw operacyjnych, usug sieciowych i aplikacji; 9) ustaleniu zasad bezpiecznej pracy przy przetwarzaniu mobilnym i pracy na odlegod; 10) zapobieganiu nieuprawnionemu ujawnieniu, modyfikacji, usuniciu lub zniszczeniu informacji; 11) zapewnieniu odpowiedniego poziomu bezpieczeostwa informacji w umowach serwisowych zawartych ze stronami trzecimi; 12) minimalizowaniu ryzyka kradziey informacji i rodkw przetwarzania informacji w tym urzdzeo mobilnych; 13) zapewnienie odpowiedniego poziomu bezpieczeostwa w systemach teleinformatycznych, w szczeglnoci przez:

a) dbaod o aktualizacj oprogramowania, b) minimalizowanie ryzyka utraty informacji w wyniku awarii, c) ochron przed bdami, utrat, nieuprawnion modyfikacj, d) adekwatne do zagroeo lub wymogw przepisu prawa stosowanie mechanizmw kryptograficznych, e) zapewnienie bezpieczeostwa plikw systemowych, f) redukcj ryzyk wynikajcych z wykorzystania opublikowanych podatnoci technicznych systemw teleinformatycznych. g) niezwoczne podejmowanie dziaao po dostrzeeniu nieujawnionych podatnoci

systemw teleinformatycznych na moliwod naruszenia bezpieczeostwa, h) kontrol zgodnoci systemw teleinformatycznych z odpowiednimi normami i politykami bezpieczeostwa. 14) niezwocznym zgaszaniu incydentw naruszenia bezpieczeostwa informacji, w okrelony i z gry ustalony sposb umoliwiajcy szybkie podjecie dziaao korygujcych; 15) zapewnienie audytu wewntrznego w zakresie bezpieczeostwa informacji.

3. System zarzdzania bezpieczeostwem informacji spenia wymogi, o ktrych mowa w ust. 1 i 2, jeeli zosta opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeostwa Systemy zarzdzania bezpieczeostwem informacji Wymagania wraz z normami uzupeniajcymi lub normy go zastpujcej, a ustanawianie zabezpieczeo, zarzdzanie ryzykiem oraz audytowanie odbywa si na podstawie Polskich Norm zwizanych z t norm, w tym: 1) PN-ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeostwa Praktyczne zasady zarzdzania bezpieczeostwem informacji, 2) PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeostwa Zarzdzanie ryzykiem w bezpieczeostwie informacji 3) PN-ISO/IEC 24762:2010 Technika informatyczna Techniki bezpieczeostwa Wytyczne dla usug odtwarzania techniki teleinformatycznej po katastrofie. 4. W przypadkach uzasadnionych analiz ryzyka lub przepisem prawa w systemach

teleinformatycznych podmiotw realizujcych zadania publiczne ustanawia si dodatkowe zabezpieczenia ni te, ktre wynikaj z ust. 2. 15. 1. Rozliczalnod w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisw w dziennikach systemw (logach). W uzasadnionych przypadkach dzienniki systemowe mog byd prowadzone w formie pisemnej. 2. W dziennikach systemw, o ktrych mowa w ust. 1, odnotowuje si dziaania uytkownikw lub procesw polegajce na dostpie do: 1) systemu z uprawnieniami administracyjnymi; 2) konfiguracji systemu, w tym konfiguracji zabezpieczeo;

3) przetwarzanych w systemach danych podlegajcych prawnej ochronie w zakresie wymaganym przepisem prawa. 3. Ustala si czas przechowywania informacji w dziennikach systemowych, o ktrych mowa w ust. 2, na 2 lata od chwili powstania zapisu. 4. Jeli przepis szczegowy ustala duszy czas przechowywania lub przechowywanie wieczyste, zapisy logw po upyniciu czasu, o ktrym mowa w ust. 3, mog podlegad skadowaniu na zewntrznych informatycznych nonikach danych. 5. W zalenoci od potrzeb kierownik podmiotu publicznego moe nakazad rejestrowanie innych informacji niezbdnych do uzyskania rozliczalnoci ni te, o ktrych mowa w ust. 2. 6. Czas przechowywania zapisw zawartych w logach zawierajcych inne informacje ni te, ktre zostay wymienione w ust. 2, ustala kierownik podmiotu publicznego w zalenoci od ich charakteru i moliwoci technicznych, jednak nie krtszy ni 6 miesicy. 16. Systemy teleinformatyczne podmiotw realizujcych zadania publiczne dziaajce w chwili wejcia w ycie niniejszego rozporzdzenia naley dostosowad do wymagao okrelonych w 13, najpniej w terminie 2 lat od dnia wejcia w ycie niniejszego rozporzdzenia. 17. Rozporzdzenie wchodzi w ycie po upywie 14 dni od dnia ogoszenia . PREZES RADY MINISTRW
2)

2)

Niniejsze rozporzdzenie byo poprzedzone rozporzdzeniami: Rady Ministrw z dnia 11 padziernika 2005 r. w sprawie minimalnych wymagao dla systemw teleinformatycznych (Dz. U. Nr 212, poz. 1766) oraz Rady Ministrw z dnia 11 padziernika 2005 r. w sprawie minimalnych wymagao dla rejestrw publicznych i wymiany informacji w formie elektronicznej (Dz. U. Nr 214, poz. 1781), ktre utraciy moc z dniem 17 grudnia 2010 r. na podstawie art. 14 ustawy z dnia 12 lutego 2010 r. o zmianie ustawy o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne i oraz niektrych innych ustaw (Dz. U. Nr 40, poz. 230).

ZACZNIK NR 1 IDENTYFIKATORY OBIEKTW WYSTPUJCYCH W ARCHITEKTURZE REJESTRW PUBLICZNYCH Definicja Identyfikatora obiektu Lp. Nazwa obiektu Identyfikator obiektu Dugod pola 4
11

Typ i zakres danej 5

Pole znakowe, znaki z zakresu {0..9} Pole znakowe, znaki z zakresu {0..9}

Pena nazwa rejestru Akt prawny stanowicy publicznego zawierajcego podstaw prawn dane referencyjne opisujce funkcjonowania rejestru, o obiekt ktrym mowa w kolumnie 6 6
Powszechny Elektroniczny System Ewidencji Ludnoci Rejestr publiczny waciwy dla rodzaju podmiotu

Wyraenie regularne 8
\d{10}

1
1

2
Osoba fizyczna posiadajca nadany numer PESEL

3
Numer PESEL

7
Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludnoci i dowodach osobistych (Dz. U. z 2006 r. nr 139, poz. 993, z pn. zm.) Ustawa waciwa dla rodzaju podmiotu

Podmiot

Numer REGON Identyfikator zasobu informacji przestrzennej (namespace) *) Identyfikator lokalny (localId) Identyfikator wersji (versionId) Identyfikator zasobu informacji przestrzennej (namespace) *) Identyfikator lokalny (localId) Identyfikator wersji (versionId)

14

\d{14}

Identyfikator punktu adresowego

do 25

Punkt adresowy Obiekt przestrzenny

do 40

Pole znakowe, znaki z zakresu {A .. Z, a .. z, 0 .. 9, _,.,}

Ewidencja Miejscowoci, Ulic i Adresw

25

Ustawa z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2010 r. Nr 193, poz. 1287)

Identyfikator dziaki ewidencyjnej

do 25

Dziaka ewidencyjna

do 40

Pole znakowe, znaki z zakresu {A .. Z, a .. z, 0 .. 9, _,.,}

Ewidencja Gruntw i Budynkw

25

*)

Identyfikator zasobu informacji przestrzennej skada si z dwch z czci: a) Czd pierwsza dwuliterowy kod paostwa, wg definicji okrelonych w normie ISO 3166, w tym przypadku (PL). b) Czd druga oznaczenie zasobu informacji przestrzennej, do ktrego nale obiekty.

ZACZNIK NR 2 FORMATY DANYCH ORAZ STANDARDY ZAPEWNIAJCE DOSTP DO ZASOBW INFORMACJI UDOSTPNIANYCH ZA POMOC SYSTEMW TELEINFORMATYCZNYCH UYWANYCH DO REALIZACJI ZADAO PUBLICZNYCH Format danych lub skrcona nazwa standardu 2 Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6

Lp.

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

1 A 1.

W celu wymiany zasobw informacyjnych przez podmioty realizujce zadania publiczne stosuje si: Do danych zawierajcych dokumenty tekstowe , tekstowo-graficzne lub multimedialne stosuje si co najmniej jeden z nastpujcych formatw danych: Dokumenty w postaci czystego (niesformatowanego) zbioru znakw zapisanych w standardzie Unicode UTF-8 jako pliki typu .txt Rich Text Format Specification Portable Document Format Dokumenty w postaci sformatowanego tekstu jako pliki typu .rtf Dokumenty tekstowo graficzne jako pliki typu .pdf Dokumenty tekstowo graficzne jako pliki typu .xps Dokumenty w postaci sformatowanego tekstu jako pliki typu .odt

1.1

.txt

ISO/IEC

ISO/IEC 10646

1.2

.rtf

Microsoft Corp.

Wewntrzny standard Microsoft Corp. ISO/IEC 32000-1

1.3

.pdf

ISO/IEC. Microsoft Corp., Ecma International ISO/IEC.

1.4

.xps

XML Paper Specification Open Document Format for Office Application

ECMA-388

1.5

.odt

ISO/IEC 26300

Lp.

Format danych lub skrcona nazwa standardu 2 .ods

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6 ISO/IEC 26300

1 1.6

3 Open Document Format for Office Application Open Document Format for Office Application Microsoft Office Word

4 Dokumenty w postaci sformatowanego arkusza kalkulacyjnego jako pliki typu .ods Dokumenty w postaci prezentacji multimedialnych jako pliki typu .odp Dokumenty w postaci sformatowanego tekstu jako pliki typu .doc Dokumenty w postaci sformatowanego tekstu jako pliki typu .docx Dokumenty w postaci sformatowanego arkusza kalkulacyjnego Dokumenty w postaci sformatowanego arkusza kalkulacyjnego Dokumenty w postaci prezentacji multimedialnych jako pliki typu .ppt Dokumenty w postaci prezentacji multimedialnych jako pliki typu .pptx Otwarty standard ISO dokumentw elektronicznych

5 ISO/IEC.

1.7

.odp

ISO/IEC.

ISO/IEC 26300 Wewntrzny standard Microsoft Corp. Wewntrzny standard Microsoft Corp. Wewntrzny standard Microsoft Corp. Wewntrzny standard Microsoft Corp. Wewntrzny standard Microsoft Corp. Wewntrzny standard Microsoft Corp. ISO/IEC 29500

1.8

.doc

Microsoft Corp.

1.9

.docx

Microsoft Office Word

Microsoft Corp.

1.10

.xls

Microsoft Office Excel

Microsoft Corp.

1.11

xlsx

Microsoft Office Excel

Microsoft Corp.

1.12

.ppt

Microsoft Office PowerPoint

Microsoft Corp

1.13

.pptx

Microsoft Office PowerPoint

Microsoft Corp

1.14

Open XML

Office Open Document

ISO/IEC

Lp.

Format danych lub skrcona nazwa standardu 2

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6

1 2.

Do danych zawierajcych informacj graficzn stosuje si co najmniej jeden z nastpujcych formatw danych: Digital compression and coding of continuous-tone still images Tagged Image File Format Geographic Tagged Image File Format Portable Network Graphics Scalable Vector Graphics

2.1

.jpg (.jpeg)

Pliki typu .jpg (Joint Photographic Experts Group)

ISO/IEC

ISO 10918

2.2 2.3 2.4 2.5 3. 3.1 3.2

.tif (.tiff) .geotiff .png .svg

Pliki typu .tif Pliki typu .geotiff Plik typu .png Grafika wektorowa

ISO/IEC NASA Jet Propulsion Laboratory ISO W3C

ISO 12234-2, ISO 12639 GeoTIFF Revision 1.0 ISO/IEC 15948 -

Do danych zawierajcych informacj dwikowa lub filmowa stosuje si odpowiednio co najmniej jeden z nastpujcych formatw danych: .wav .mp3 wave form audio format MP3 File Format plik audio plik audio ISO/IEC IBM Corporation /Microsoft Corporation ISO/IEC ISO/IEC 14496 ISO/IEC 11172-3 ISOI/IEC 13818-3

3.3

.avi .mpg .mpeg

Audio Video Interleave

niekompresowany plik audio/wideo

3.4

MPEG-2 Video Encoding

plik audiowizualne z dwikiem lub bez.

Lp.

Format danych lub skrcona nazwa standardu 2 .mp4

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6

3.5

.m4a mpeg4

MPEG-4 Visual Coding

plik audiowizualne z dwikiem lub bez

ISO/IEC

ISO/IEC 14496

4. 4.1 4.2 4.3 4.4 5. 5.1

Do kompresji (zmniejszenia objtoci) dokumentw elektronicznych o duych rozmiarach stosuje si co najmniej jeden z nastpujcych formatw danych: .zip .tar .gz (.gzip) .7Z ZIP file format Tape Archiver GZIP file format 7-Zip file format Format kompresji plikw Format archiwizacji plikw (uywane zwykle wraz z.gz) Format kompresji plikw Format kompresji plikw PKWAREInc. FSF IETF Igor Pavlov RFC 1952 -

Do tworzenia i modyfikacji stron WWW stosuje si co najmniej jeden z nastpujcych formatw danych: .html Hypertext Markup Language Extensible Hypertext Markup Language Standard jzyka znacznikw formatujcych strony WWW HTML 4.01 Standard jzyka znacznikw formatujcych strony WWW ISO/IEC ISO/IEC 15445

5.2

.xhtml

W3C

5.3

.html

Standard jzyka znacznikw formatujcych strony WWW wykorzystywany w zakresie prezentacji Hypertext Markup Language informacji w komputerach kieszonkowych (PDA) XHTML basic

W3C

Lp.

Format danych lub skrcona nazwa standardu 2 .css

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6 -

1 5.4 B. 1.

3 Cascading Style Sheets Kaskadowy Arkusz Stylu

5 W3C

Do okrelenia struktury i wizualizacji dokumentu elektronicznego stosuje si nastpujce formaty danych: Do definiowania ukadu informacji polegajcego na okreleniu elementw informacyjnych oraz powizao midzy nimi stosuje si nastpujce formaty danych: Standard uniwersalnego formatu tekstowego sucego do zapisu danych w formie elektronicznej Standard opisu definicji struktury dokumentw zapisanych w formacie XML Jzyk Znacznikw Geograficznych

1.1

.xml

Extensible Markup Language

W3C

1.2

.xsd

Extensible Markup Language Geography Markup Language

W3C

1.3 2. 2.1

.gml

OGC

Do przetwarzania dokumentw zapisanych w formacie XML stosuje si co najmniej jeden z nastpujcych formatw danych: .xsl Extensible Stylesheet Language Extensible Stylesheet Language Transformation Rozszerzalny Jzyk Arkuszy Stylw Przeksztacenia Rozszerzalnego Jzyka Arkuszy Stylw W3C -

2.2 3. 3.2

.xslt

W3C

Do elektronicznego podpisywania i szyfrowania dokumentw elektronicznych stosuje si: XMLsig XML-Signature Syntax and Processing Podpis elektroniczny dokumentw w formacie XML W3C

Lp.

Format danych lub skrcona nazwa standardu 2 XAdES PAdES CAdES XMLenc

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca format, norm lub standard

Oznaczenie lub nazwa normy albo dokumentu zawierajcego specyfikacj techniczna wskazanego formatu 6 ETSI TS 101 903 ETSI TS 102 778 ETSI TS 101 733 -

1 3.3 3.4 3.5 3.6

5 ETSI ETSI ETSI W3C

XML Advanced Electronic Podpis elektroniczny dokumentw w formacie XML Signatures PDF Advanced Electronic Podpis elektroniczny dokumentw w formacie PDF Signatures CMS Advanced Electronic Podpis elektroniczny dokumentw w formacie CMS Signatures XML Encryption Syntax and Szyfrowanie dokumentw elektronicznych w Processing formacie XML

Objanienia skrtw nazw organizacji z kol. 5: FSF Free Software Foundation IETF Internet Engineering Task Force ISO International Standardization Organization OASIS Organization for the Advancement of Structured Information Standards OGC Open Geospatial Consortium Inc. OMA Open Mobile Alliance W3C World Wide Web Consortium ETSI European Telecommunications Standards Institute

ZACZNIK NR 3 FORMATY DANYCH OBSUGIWANE PRZEZ PODMIOT REALIZUJCY ZADANIE PUBLICZNE W TRYBIE ODCZYTU Format danych lub skrcona nazwa standardu 2 .dwg .dwf .dxf .dgn

Lp.

Oryginalna pena nazwa standardu

Opis standardu

Organizacja okrelajca norm lub standard

Nazwa normy, standardu lub dokumentu normalizacyjnego albo standaryzacyjnego 6 Wewntrzny standard Autodesk Wewntrzny standard Autodesk Wewntrzny standard Autodesk Wewntrzny standard Bentley Systems ISO 15444-1 -

1 1. 2. 3. 4.

3 Joint Photographic Experts Group 2000 Ogg Vorbis Audio Format Theora Video Format

4 plik binarny programu AutoCAD z grafik wektorow skompresowany plik programu AutoCAD plik programu AutoCAD kodowany znakami ASCII pliki programu MicroStation z grafik wektorow

5 Autodesk Autodesk Autodesk Bentley Systems.

5. 6. 7.

.jp2 .ogg .ogv

Format graficzny JPEG2000 plik audio plik audiowizualny z dwikiem lub bez

ISO/IEC Xiph.Org Foundation Xiph.Org Foundation

ZACZNIK NR 4 WYMAGANIA Web Content Accessibility Guidelines (WCAG 2.0) DLA SYSTEMW TELEINFORMATYCZNYCH W ZAKRESIE DOSTPNOCI DLA OSB NIEPENOSPRAWNYCH

(w opracowaniu)

Uzasadnienie

Projektowane rozporzdzenie wykonuje upowanienie ustawowe zawarte w art. 18 znowelizowanej ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. z 2005 r. Nr 64, poz. 565, z pn. zm.), zwanej dalej w skrcie ustaw o informatyzacji. W przepisie delegujcym wystpuj trzy punkty wskazujce na potrzeb uregulowao prawnych w nastpujcych sprawach: minimalnych wymagao dla systemw teleinformatycznych, minimalnych wymagao dla rejestrw publicznych i wymiany informacji w postaci elektronicznej, Krajowych Ram Interoperacyjnoci.

W odniesieniu do minimalnych wymagao dla systemw teleinformatycznych i Krajowych Ram Interoperacyjnoci dyspozycja delegacji nakazuje uwzgldnienie majcych zastosowanie Polskich Norm. Delegacja art. 18 wystpowaa w podobnym brzmieniu przed nowelizacj ustawy o informatyzacji obejmowaa jednak tylko dwa pierwsze z wymienionych powyej punktw, bez Krajowych Ram Interoperacyjnoci. Skutkowao to tym, e moliwe byo wydanie dwch odrbnych rozporzdzeo. Wprowadzenie pojcia Krajowych Ram Interoperacyjnoci w zasadniczy sposb zmienio sytuacj. Samo pojcie ram interoperacyjnoci wywodzi si z dokumentu powstaego w wyniku projektw IDABC oraz ISA realizowanych na rzecz Komisji Europejskiej w postaci Europejskich Ram Interoperacyjnoci wersja 2.0. (EIF 2.0). Dokument EIF 2.0 nie stanowi co prawda obowizujcej normy prawnej, naley go jednak traktowad jako wytyczn do opracowania Krajowych Ram Interoperacyjnoci. Pojcie interoperacyjnoci wystpujce w sowniku ustawy o informatyzacji zostao zaczerpnite z dokumentu EIF. Zgodnie z definicj ustawow interoperacyjnoci uregulowania normatywne zawarte w przepisach wykonawczych powinny obejmowad zagadnienia interoperacyjnoci semantycznej, organizacyjnej oraz technologicznej. Biorc pod uwag, e minimalne wymagania dla systemw teleinformatycznych dotycz interoperacyjnoci na poziomie technologicznym, a minimalne wymagania dla rejestrw publicznych i wymiany informacji w postaci elektronicznej dotycz interoperacyjnoci semantycznej, a ponadto, e dla kadego z tych obszarw powinny byd ustalone wymogi organizacyjne, ktre s jedn z warstw interoperacyjnoci wymienianych w EIF 2.0, zasadnym wydaje si wydanie jednego aktu normatywnego w formie rozporzdzenia w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagao dla rejestrw publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagao dla systemw teleinformatycznych. Jednoczenie stosujc zasad przechodzenia od uregulowao oglnych do szczegowych naley w rozporzdzeniu opisad kolejno: Krajowe Ramy Interoperacyjnoci, minimalne wymagania dla rejestrw publicznych i wymiany informacji w postaci elektronicznej, minimalnych wymagao dla systemw teleinformatycznych. Naley przy tym podkrelid, e z uwagi na nieostr granic pomidzy wymienionymi zagadnieniami niecelowe jest dzielenie tego aktu normatywnego na rozdziay. Zgodnie z definicj interoperacyjnod, to zdolnod rnych podmiotw oraz uywanych przez nie systemw teleinformatycznych i rejestrw publicznych do wspdziaania na rzecz osignicia wzajemnie korzystnych i uzgodnionych celw, z uwzgldnieniem wspdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomoc wymiany danych za porednictwem wykorzystywanych przez te podmioty systemw teleinformatycznych. Z przywoanej definicji wynika, e oddziaywanie prawne powinno

dotyczyd zarwno systemw teleinformatycznych wykorzystywanych do realizacji zadao publicznych, jak i spraw organizacyjnych wspdziaajcych podmiotw. W odniesieniu do zagadnieo zwizanych

z interoperacyjnoci technologiczn oraz organizacyjn delegacja ustawowa nakazuje uwzgldnienie norm stanowionych przez Polski Komitet Normalizacji. W obszarze technologii informatycznych, obejmujcych w pierwszym rzdzie globaln sied wymiany informacji jak jest Internet, czsto nie ma norm krajowych. Oznacza to, e w celu zapewnienia wsppracy pomidzy podmiotami realizujcymi zadania publiczne z wykorzystaniem tej sieci, w tym wsppracy transgranicznej, niezbdne jest korzystanie ze standardw midzynarodowych, w tym przypadku standardw de facto opracowywanych przez Internet Engineering Task Force (IETF). Podobnie przedstawia si sprawa jzyka opisu struktur danych wymienianych pomidzy podmiotami realizujcymi zadania publiczne, gdzie zastosowanie maj standardy de facto okrelane przez World Wide Web Consortium (W3C), powszechnie przyjte w tym zakresie i sankcjonowane rwnie przez polskie akty normatywne rangi rozporzdzenia. Zgodnie z pojciem jzykowym ramy interoperacyjnoci w kontekcie niniejszego rozporzdzenia oznaczaj zakres lub zasig oddziaywania przepisw prawa na zagadnienia zwizane z wymian informacji przez podmioty realizujce zadania publiczne ze wszystkimi interesariuszami tej wymiany. Ramy interoperacyjnoci bd okrelad zarwno sztywne wymogi w postaci wymagao minimalnych, ale te rekomendacje majce za zadanie zapewnienie interoperacyjnoci w przypadkach fakultatywnych ponad wymagania minimalne. Rekomendacje s dynamiczn czci Krajowych Ram Interoperacyjnoci. Ich stosowanie przez podmioty realizujce zadania publiczne powinno mied zastosowanie przede wszystkim w obszarze interfejsw czcych systemy informatyczne rnych podmiotw. Wewntrz systemu rekomendacje takie nie musz obowizywad, jednak racjonalne wydaje si stosowanie rozwizao proponowanych przez rekomendacje i w tym obszarze. Z uwagi na to, e delegacja ustawowa nie sytuuje adnego organu koordynujcego osiganiem interoperacyjnoci, jedynym rozwizaniem pozostaje przypisanie funkcji

koordynacyjnych w tym zakresie ministrowi waciwemu do spraw informatyzacji. Takie podejcie wynika z przepisu art. 12a ustawy z dnia 4 wrzenia 1997 r. o dziaach administracji rzdowej. Przy tworzeniu systemu zarzdzania interoperacyjnoci naley kierowad si zasad jawnoci prac nad ustanawianiem rekomendacji interoperacyjnoci, a same rekomendacje nie mog naruszad swobody gospodarczej na rynku usug i dostaw informatycznych, zapewniajc rwny dostp do tego rynku wszystkim jego uczestnikom z preferowaniem standardw otwartych. Interoperacyjnod mona uzyskad na kilka sposobw, w tym poprzez: ujednolicenie, wymiennod lub zgodnod. Podstawowym sposobem powinno byd osiganie interoperacyjnoci poprzez zapewnienie wymiennoci. Naley jednak zauwayd, e nie mona wykluczyd pozostaych dwch sposobw. Naley zaznaczyd, e w przypadku ujednolicenia zastosowanie tego sposobu nie wyklucza stosowania prawa zamwieo publicznych i nie znosi obowizku zapewnienia neutralnoci technologicznej. Naley ponadto zauwayd, e zastosowany sposb osigania interoperacyjnoci nie musi odnosid si do caego systemy teleinformatycznego podmiotu realizujcego zadanie publiczne, ale moe dotyczyd pewnych jego czci skadowych. Architektur systemu teleinformatycznego naley rozumied jako proces rozumowania, realizowany podczas opisywania regu dla caoci lub podzbioru zakresu struktury tego systemu, uwzgldniajcy

uwarunkowania funkcjonalne, konstrukcyjne, ekonomiczne i inne - istotne dla konkretnego systemu. Struktur systemu informatycznego opisan w wyniku jego projektowania architektonicznego nazywa si modelem architektonicznym systemu teleinformatycznego lub modelem architektury systemu. Ustalajc zasady interoperacyjnoci na poziomie semantycznym naley zdefiniowad podstawowe typy obiektw w sferze wymiany informacji pomidzy podmiotami realizujcymi zadania publiczne. Dla kadego z tych obiektw naley wyznaczyd jednoznaczny identyfikator w ramach danego typu oraz okrelid rejestr publiczny zawierajcy dane referencyjne. Za rejestr zawierajcy dane referencyjne naley uznad taki rejestr, w ktrym dane te s pierwotnie gromadzone. W rozporzdzeniu ustalono trzy podstawowe typy obiektw: osoba fizyczna, posiadajca nadany numer PESEL; osoba prawna, jednostka organizacyjna nie posiadajca osobowoci prawnej lub organ wadzy publicznej, zwane podmiotem, obiekt przestrzenny.

Jako identyfikator osoby fizycznej wskazano numer PESEL, a rejestrem zawierajcym dane referencyjne jest rejestr PESEL. W przypadku gdy podmiot publiczny prowadzi rejestr obejmujcy osoby fizyczne nieposiadajce nadanego numeru PESEL lub w przepisie sytuujcym rejestr wskazano na inny identyfikator identyfikacja takiej osoby odbywa si wedug cechy informacyjnej waciwej dla danego rejestru. W przypadku podmiotu dane referencyjne znajduj si w rnych rejestrach lub dla niektrych podmiotw takich rejestrw nie ma (np. wsplnoty mieszkaniowe). W przypadku podmiotw jednolitym identyfikatorem jest numer REGON. Z rejestru REGON mona wnioskowad o tym, gdzie znajduje si rejestr zawierajcy dane referencyjne. W odniesieniu do obiektu przestrzennego za jednolite identyfikatory naley uznad identyfikator punktu adresowego i identyfikator dziaki ewidencyjnej zawarte w rejestrach prowadzonych na podstawie prawa geodezyjnego i kartograficznego. Takie podejcie wynika z wdroenia przepisw Rozporzdzenia Komisji (UE) nr 1089/2010 z dnia 23 listopada 2010 r. w sprawie wykonania dyrektywy 2007/2/WE Parlamentu Europejskiego i Rady w zakresie interoperacyjnoci zbiorw i usug danych przestrzennych. Ponad to w odniesieniu do obiektw przestrzennych w zakresie interoperacyjnoci maj bezporednie zastosowanie przepisy powyszego rozporzdzenia KE. Cechy informacyjne obiektw zawarte bd w rekomendacjach interoperacyjnoci umieszczonych w repozytorium rekomendacji interoperacyjnoci. Podstawowym narzdziem sucym uzyskaniu interoperacyjnoci s rekomendacje

interoperacyjnoci. Naley zdawad sobie spraw, e czd tych rekomendacji pozostanie poza wpywem polskiej legislacji, jednak ich przyjcie jest nieuniknione z uwagi na ponadnarodowy charakter takich bytw jak chodby Internet. Zatem standardy i normy dotyczce takich bytw ustalane przez organizacje, ktrych kompetencje wynikaj nie z normy prawnej, a z powszechnie i nieformalnie przyjtej zgody nie mog zostad pominite. Jednoczenie ju dod dawno w dziedzinie produkcji i wiadczenia usug zauwaono, e efekt synergii dziaao rnych podmiotw uczestniczcych w danym rynku, mimo wystpujcej konkurencyjnoci, moliwy jest do uzyskania przy wsplnej zgodzie zainteresowanych stron co do przyjmowanych standardw. Podobnie w przypadku interoperacyjnoci efekt synergii dziaao podmiotw realizujcych zadania publiczne moliwy jest do uzyskania, gdy rekomendacje interoperacyjnoci zostan wypracowane nie w sposb nakazowy, a w drodze

szerokiego konsensusu. Wane jest jednak aby stworzone zostay instytucjonalne ramy dla takich uzgodnieo oraz aby uzgodnienia byy atwo dostpne. Temu celowi suy umocowanie ministra waciwego do spraw informatyzacji do zarzdzania ustalaniem rekomendacji interoperacyjnoci i publikowania tyche uzgodnieo. Moliwod takiego umocowania nie wynika co prawda explicite z delegacji art. 18 ustawy, niemniej implikowana jest ona zadaniami jakie posiada minister waciwy do spraw informatyzacji na podstawie art. 12a pkt 4 ustawy z dnia 4 wrzenia 1997 r. o dziaach administracji rzdowej. Biorc pod uwag przepisy ustawy z dnia 12 wrzenia 2002 r. o normalizacji moe okazad si niezbdne opublikowanie przez Polski Komitet Normalizacyjny niektrych norm i standardw, o ktrych mowa w rozporzdzeniu, w polskiej wersji jzykowej. Opracowujc standardy wymiany informacji w postaci elektronicznej pomidzy klientami podmiotw realizujcych zadania publiczne naley oddzielnie rozpatrywad kierunki komunikacji. W przypadku klientw powinni mied oni moliwod przesyania do podmiotw publicznych plikw danych, innych ni te, ktre okrelone s we wzorach pism w postaci dokumentw elektronicznych zamieszczonych w centralnym repozytorium, w formatach, ktre umoliwiaj zapoznanie si z treci takiego pliku z wykorzystaniem nieodpatnego oprogramowania. Instalacja takiego oprogramowania w podmiocie publicznym, szczeglnie w aspekcie spenienia przez to oprogramowanie warunkw bezpieczeostwa, powinna byd przedmiotem procedur systemu zarzdzania bezpieczeostwem informacji. Liczce si na rynku oprogramowanie suce do wytwarzania plikw okrelonego typu posiada nieodpatne oprogramowanie umoliwiajce odczyt takiego pliku. Umoliwione zatem bdzie dostarczanie do podmiotu realizujcego zadanie publiczne danych w formatach tworzonych przez specjalistyczne oprogramowanie w sytuacjach gdy po stronie podmiotu publicznego wymagane bdzie jedynie zapoznanie si z treci pliku. Klasycznym przykadem moe tu byd techniczna dokumentacja budowlana niezbdna do uzyskania pozwolenia na budow, wytwarzana z wykorzystaniem kosztownego oprogramowania klasy CAD, w sytuacji gdy po stronie organu wydajcego decyzj wystarczajca jest operacja odczytu. Z drugiej jednak strony moe pojawid si moliwod przedkadania przez nadawcw egzotycznych formatw danych i wskazywania rwnie egzotycznych programw sucych do ich odczytywania. Mogoby to byd w prosty sposb wykorzystywane do prb instalacji w systemach podmiotu publicznego oprogramowania szkodliwego. W zwizku z tym, podtrzymujc ide moliwoci dostarczania do podmiotu publicznego plikw wytworzonych za pomoc specjalistycznego oprogramowania w rozporzdzeniu zamieszczono wykaz plikw, ktre musz byd przyjmowane przez podmiot publiczny. Z uwagi na to, e s to wymagania minimalne podmiot publiczny moe okrelid jakie inne typy plikw mog byd do tego podmiotu dostarczane przez jego petentw. Odmiennie wyglda sytuacja, gdy to podmiot publiczny ma udostpniad informacje. Przyjte do tej wymiany formaty powinny z jednej strony racjonalizowad koszt wytworzenia takiej informacji w podmiocie publicznym, a z drugiej zapewniad swobodny do niej dostp klientw tych podmiotw. Dopuszczalne formaty zostay wymienione enumeratywnie w zaczniku nr 2 do rozporzdzenia. Bardzo istotn w zakresie wymagao pozafunkcjonalnych dla systemw teleinformatycznych jest sfera zarzdzania bezpieczeostwem informacji. Zarzdzanie bezpieczeostwem ma na celu zapewnienie informacji przetwarzanej w systemach podmiotw publicznych zachowania jej dostpnoci, integralnoci i poufnoci z uwzgldnieniem takich atrybutw jak autentycznod, rozliczalnod, niezaprzeczalnod i niezawodnod. Dobr

praktyk w zakresie legislacji w tym zakresie jest wskazywanie w aktach normatywnych uznanych na poziomie midzynarodowym norm i standardw. Przykadem takiego podejcia moe byd Rozporzdzenie Komisji (WE) NR 885/2006 (ze zm.) z dnia 21 czerwca 2006 r. ustanawiajce szczegowe zasady stosowania rozporzdzenia Rady (WE) nr 1290/2005 w zakresie akredytacji agencji patniczych i innych jednostek, jak rwnie rozliczenia rachunkw EFGR i EFRROW. Zacznik I do rozporzdzenia 885/2006 wskazuje na majce zastosowanie normy, w tym norm ISO/IEC 27002. Innym przykadem odwoania do norm moe byd rozporzdzenie Ministra Spraw Wewntrznych i Administracji z dnia 7 wrzenia 2010 r. w sprawie wymagao, jakim powinna odpowiadad ochrona wartoci pieninych przechowywanych i transportowanych przez przedsibiorcw i inne jednostki organizacyjne, w ktrym wystpuj odwoania do licznych Polskich Norm. Zatem przywoanie Polskich Norm z zakresu bezpieczeostwa informacji jest zasadne, tym bardziej, e delegacja ustawowa wskazuje na koniecznod uwzgldnienia w rozporzdzeniu Polskich Norm i innych dokumentw normalizacyjnych. Majc to na uwadze jako wiodce w zakresie bezpieczeostwa wskazano Polskie Normy PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeostwa Systemy zarzdzania bezpieczeostwem informacji Wymagania. Z norm zwizanych z wczeniej wymienionych naley uznad za wskazan norm PN ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeostwa Systemy zarzdzania bezpieczeostwem informacji Praktyczne zasady zarzdzania bezpieczeostwem informacji (de facto ISO/IEC 27002). Norma ta wskazuje obszary zabezpieczeo oraz podaje wskazwki metodyczne co do implementacji zabezpieczeo. Jednym z istotnych celw zabezpieczeo ustanawianych w systemach teleinformatycznych, a opisywanych w omawianej normie jest zapewnienie rozliczalnoci. Su temu w szczeglnoci zapisy normy PN ISO/IEC 17799 zawarte rozdziale 10.10 Monitorowanie omawiajce zabezpieczenia majce na celu wykrywanie nieautoryzowanych dziaao zwizanych z przetwarzaniem informacji oraz zapisy rozdziau 11 Kontrola dostpu opisujce zabezpieczenia z zakresu dostpu do informacji. W rozporzdzeniu w formie przepisw ujto tylko te zagadnienia, ktre nie s szczegowo regulowane w normach, lub normy dopuszczaj wielod alternatywnych rozwizao. Dotyczy to na przykad okresu retencji danych w logach systemw informatycznych gromadzcych informacje o aktywnoci uytkownikw i konfiguracjach systemu. Z drugiej strony naley pamitad, e monitorowanie dostpu do danych wynika z innych przepisw. Na przykad monitorowanie dostpu do danych osobowych wynika z przepisw ustawy o ochronie danych osobowych. Przyjte w niniejszym rozporzdzeniu uregulowania nie uchybiaj tym przepisom. W odniesieniu do eksploatacji systemu teleinformatycznego naley zauwayd, e praktyka wskazuje na wiodca w tym rol metodyki ITIL. Metodyka ta stoi u podstaw systemu norm ISO 20000. Zatem w zakresie organizacji i zarzdzania w sferze eksploatacji systemu informatycznego powinny byd zastosowane metody, o ktrych mwi Polskie Normy PN-ISO/IEC 20000-1:2007 Technika informatyczna Zarzdzanie usugami Czd 1: Specyfikacja oraz PN-ISO/IEC 20000-2:2007 Technika informatyczna Zarzdzanie usugami Czd 2: Reguy postpowania , bdce krajow implementacj norm midzynarodowych. Pojcia z zakresu zarzdzania bezpieczeostwem informacji oraz z zakresu zarzdzania usug, umieszczone w 2 zostay przytoczone w brzmieniu wynikajcym z normy ISO/IEC 13335-1:2004 Istotnym obszarem, ktry reguluje rozporzdzenie jest kwestia zwikszenia dostpnoci do usug eAdministracji dla osb niepenosprawnych, ze szczeglnym uwzgldnieniem osb niewidomych i niedowidzcych. Koniecznod uregulowao prawnych w tym obszarze wynika midzy innymi ze zobowizao

Polski zawartych w Deklaracji Ministrw paostw czonkowskich Unii Europejskiej zatwierdzonej jednogonie w Rydze w dniu 11 czerwca 2006 r. W zwizku z tym, e rozwizania technologiczne w obszarze dostpu osb niewidomych i niedowidzcych do treci przekazywanych przez Internet nie s objte uregulowaniami Polskich Norm zasadne jest wykorzystanie do tego celu Wytycznych Dotyczcych Uatwieo Dostpu Do Zawartoci Sieci 2.0" (Web Content Accessibility Guidelines) z 27 kwietnia 2006 roku publikowanych przez powszechnie uznawan organizacj World Wide Web Consortium (W3C). Za minimalny poziom wymagao naley przyjd poziom AA. Jednoczenie w zwizku z tym, e dotychczas nie byo przepisu okrelajcego wymagania w tym zakresie wprowadza si okres przejciowy, ktry umoliwi podmiotom publicznym dostosowad swoje dotychczasowe serwisy internetowe do tych wymagao.

Ocena skutkw regulacji 1. Podmioty, na ktre oddziauje projekt rozporzdzenia: Projektowane rozporzdzenie ma wpyw na organy administracji publicznej prowadzce systemy teleinformatyczne suce do realizacji zadao publicznych. Rozporzdzenie ma ponadto wpyw na sektor informatyki w zakresie dostaw i usug. Wpyw ten ma charakter porzdkujcy rynek i przeciwdziaajcy praktykom dyskryminacyjnym oraz wzmacnia przejrzystod podejmowania decyzji w zakresie standardw obowizujcych administracj publiczn podczas formuowania wymagao dla systemw teleinformatycznych sucych do realizacji zadao publicznych. 2. Konsultacje spoeczne: W ramach konsultacji spoecznych projekt zostanie zamieszczony w Biuletynie Informacji Publicznej na stronie podmiotowej Ministerstwa Spraw Wewntrznych i Administracji. Projekt zostanie poddany konsultacjom z nastpujcymi partnerami spoecznymi: Polskim Towarzystwem Informatycznym (PTI), Polsk Izb Informatyki i Telekomunikacji (PIIT), Krajow Izb Gospodarcz Elektroniki i Telekomunikacji (KIGEiT), Stowarzyszeniem Instytutu Informatyki ledczej, Zwizkiem Pracodawcw Brany Internetowej Interactive Advertising Bureau Polska, Fundacja Wolnego i Otwartego Oprogramowania, Fundacja Widzialni. 3. Wpyw regulacji na sektor finansw publicznych, w tym na budet paostwa Rozporzdzenie moe mied wpyw na sektor publiczny z uwagi na koniecznod dostosowania systemw teleinformatycznych dla potrzeb osb niepenosprawnych. Niemniej jednak naley wskazad, i proces dostosowania zosta rozoony w czasie i moe byd prowadzony w ramach zmian w systemach wynikajcych z ich cyklu yciowego. Koniecznod dostosowania systemw do potrzeb osb niepenosprawnych wynika rwnie z innych obowizujcych przepisw prawa oraz zobowizao midzynarodowych. Rozporzdzenie moe mied wpyw na istniejce i znajdujce si w fazie produkcji systemy teleinformatyczne w zakresie zapewnienia bezpieczeostwa informacji w tych systemach.

4.

Wpyw regulacji na konkurencyjnod gospodarki i przedsibiorczod, w tym na funkcjonowanie przedsibiorstw: Rozporzdzenie pozytywnie wpywa na konkurencyjnod gospodarki i przedsibiorczod stwarzajc

podmiotom gospodarczym rwny dostp do rynku zamwieo publicznych w zakresie dostaw i usug informatycznych. 5. Wpyw regulacji na rynek pracy: Nie przewiduje si wpywu projektowanego rozporzdzenia na rynek pracy. 6. Wpyw regulacji na sytuacj i rozwj regionalny: Nie przewiduje si wpywu projektowanego rozporzdzenia na sytuacj i rozwj regionalny. Rozporzdzenie jest zgodne z prawem Unii Europejskiej. Rozporzdzenie podlega notyfikacji.