Inicjatywa "Wspólna Infrastruktura Informatyczna Państwa".
M.P.2021.1006 t.j.
Akt nienormatywnyUCHWAŁA Nr 97
RADY MINISTRÓW
z dnia 11 września 2019 r.
w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa"
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
MINIMALNE WYMAGANIA ORGANIZACYJNE I TECHNICZNE DLA POSIADACZY CPD ORAZ CPD PRZYŁĄCZONYCH DO RZĄDOWEJ CHMURY OBLICZENIOWEJ
MINIMALNE WYMAGANIA ORGANIZACYJNE I TECHNICZNE DLA POSIADACZY CPD ORAZ CPD PRZYŁĄCZONYCH DO RZĄDOWEJ CHMURY OBLICZENIOWEJ
ZAŁĄCZNIK Nr 2
KRYTERIA KLASYFIKACJI SYSTEMÓW TELEINFORMATYCZNYCH, KTÓRE MOGĄ KORZYSTAĆ Z USŁUG PRZETWARZANIA W RZĄDOWEJ CHMURZE OBLICZENIOWEJ LUB W PUBLICZNYCH CHMURACH OBLICZENIOWYCH
KRYTERIA KLASYFIKACJI SYSTEMÓW TELEINFORMATYCZNYCH, KTÓRE MOGĄ KORZYSTAĆ Z USŁUG PRZETWARZANIA W RZĄDOWEJ CHMURZE OBLICZENIOWEJ LUB W PUBLICZNYCH CHMURACH OBLICZENIOWYCH
Objaśnienie ogólne: Kategorie systemów teleinformatycznych przedstawione w tabeli mają charakter, co do zasady, rozłączny. Kryterium rozróżnienia kategorii uwzględnia główne rodzaje systemów teleinformatycznych działających w organach publicznych oraz ich główne, z punktu widzenia bezpieczeństwa przetwarzania w chmurze, cechy i przeznaczenie. W praktyce może się okazać, że system można zakwalifikować do dwóch lub więcej kategorii. Jeżeli z objaśnień dla poszczególnych kategorii nie wynika pierwszeństwo dla danej kategorii, o możliwości przetwarzania w określonym typie chmury obliczeniowej decyduje analiza poszczególnego systemu. Brak oznaczenia w postaci X w kolumnie "Brak możliwości skorzystania z usług chmurowych określonych w uchwale" oznacza, że system powinien być utrzymywany przy wykorzystaniu usług chmurowych (zasada pierwszeństwa chmury), a rodzaj dopuszczalnych usług chmurowych zależy od oznaczenia w tabeli. Oznaczenie X w kolumnie "Brak możliwości skorzystania z usług chmurowych określonych w uchwale" i kolumnie "Rządowa Chmura Obliczeniowa" oznacza możliwość utrzymywania systemu w ramach Dedykowanej Infrastruktury Teleinformatycznej (DIT) lub w Rządowej Chmurze Obliczeniowej w zależności od wyniku przeprowadzonej analizy. Analogicznie zasady mają zastosowanie w przypadku pozostałych klasyfikacji. | |||||||
Lp. | Kategoria systemów | Brak możliwości skorzystania z usług chmurowych określonych w uchwale 3 (konieczność korzystania z Dedykowanej Infrastruktury Teleinformatycznej - DIT) | Rządowa Chmura Obliczeniowa | Publiczna Chmura Obliczeniowa w jurysdykcji krajowej | Publiczna Chmura Obliczeniowa w jurysdykcji państwa UE | Objaśnienia dla poszczególnych kategorii | |
1 | Systemy teleinformatyczne, w których są przetwarzane informacje niejawne | X | Dotyczy to systemów, które wprost w przepisach ustaw są określone jako systemy niejawne lub w stosunku do których uprawnione organy wskazały, iż są w nich przetwarzane informacje niejawne. | ||||
2 | Systemy teleinformatyczne służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu | X | Dotyczy wszystkich systemów służb specjalnych (niezależnie od tego, czy są w nich przetwarzane informacje niejawne), nawet jeżeli te systemy spełniają kryteria kwalifikujące do innej kategorii systemów. Kategoria ta nie obejmuje systemów, o których mowa w pkt 6. | ||||
3 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów 4 , ewidencji 5 oraz innych baz danych 6 przez organy publiczne na podstawie przepisów prawa Unii Europejskiej lub na podstawie zawartych umów międzynarodowych | X | X | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. | |
4 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych przez organy wymiaru sprawiedliwości, służby lub formacje umundurowane oraz służby odpowiedzialne za zapewnienie porządku i bezpieczeństwa publicznego, z wyłączeniem służb wskazanych w pkt 5 | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. | |||
5 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, prowadzone przez straże gminne, straże leśne | X | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. | ||
6 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych przez organy publiczne, w których przetwarzane są dane referencyjne, wykorzystywane w funkcjonalnościach przewidzianych w art. 35 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu 7 | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. Analiza powinna uwzględniać możliwość rozdzielenia komponentów systemów teleinformatycznych, w których realizowane są funkcjonalności ABW i AW. Nie obejmuje systemów teleinformatycznych, które nie wchodzą w zakres podmiotowy uchwały oraz systemów podmiotów prywatnych, np. systemów teleinformatycznych, przy użyciu których wydawane są środki identyfikacji elektronicznej. | |||
7 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, zawierające dane referencyjne inne niż wskazane w pkt 6 | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. | |||
8 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, w których są przetwarzane szczególne kategorie danych osobowych w rozumieniu art. 9 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) | X | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. O ile systemy mieszczą się w kategoriach 3-6, klasyfikacja powinna być dokonana w oparciu o kryteria z pkt 3-6. | ||
9 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych innych niż w pkt 3-7, jeżeli prowadzone są one na podstawie przepisów powszechnie obowiązujących, a w szczególności wpisy do tych rejestrów, ewidencji i baz danych mają skutek prawny | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. Skutek prawny systemu rozumiany jest zarówno jako skutek konstytutywny, jak i deklaratoryjny. | |||
10 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych innych niż w pkt 1-7, jeżeli prowadzone są one przez podmioty na własny użytek 1 mają charakter wspomagający | X | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. Kategoria obejmuje systemy do prowadzenia rejestrów, ewidencji oraz innych baz danych, których nie reguluje prawo powszechnie obowiązujące, a organ stworzył je w celu ulepszenia realizacji zadań publicznych, np. spisy, wewnętrzne ewidencje lub bazy danych, na podstawie których na bieżąco realizuje określone prawem zadania publiczne. | ||
11 | Systemy teleinformatyczne wykorzystywane do udostępniania informacji publicznej lub udostępniania informacji sektora publicznego do ponownego wykorzystania (otwarte dane) | X | X | X | Kategoria obejmuje samodzielne systemy teleinformatyczne niebędące częścią systemów należących do kategorii 4-9. Pod warunkiem zakwalifikowania podmiotu odpowiedzialnego za system do zakresu podmiotowego uchwały. | ||
12 | Systemy teleinformatyczne, w ramach których świadczone są usługi elektroniczne organów administracji publicznej | X | X | X | O możliwości przetwarzania w danej możliwej chmurze obliczeniowej decyduje wynik analizy. Kategoria obejmuje systemy teleinformatyczne: - przeznaczone do udostępniania danych z rejestrów, ewidencji lub innych baz danych w drodze zapytań jednostkowych, -transakcyjne, wykorzystujące dane pochodzące z rejestrów, ewidencji lub innych baz danych, - pozwalające na wnoszenie do organów administracji publicznej oraz doręczanie przez te organy dokumentów stanowiących elementy postępowań administracyjnych oraz innych, przewidzianych w przepisach prawa, czynności realizowanych przez te organy. | ||
13 | Systemy teleinformatyczne służące do prowadzenia wewnętrznego elektronicznego obiegu dokumentacji/ elektronicznego zarządzania dokumentacją | X | X | X | O możliwości przetwarzania w danej możliwej chmurze decyduje wynik analizy. | ||
14 | Systemy teleinformatyczne klasy ERP i CRM itp. | X | X | X | O możliwości przetwarzania w danej możliwej chmurze decyduje wynik analizy. | ||
15 | Pozostałe systemy teleinformatyczne | X | X | X | Kategoria obejmuje inne systemy świadczące usługi obsługowe na wewnętrzny użytek, zapewniające komunikację, np. systemy ekstranetowe, intranetowe lub poczty elektronicznej. |
Analiza podmiotu odpowiedzialnego za system teleinformatyczny wykorzystywany do prowadzenia rejestrów, ewidencji oraz innych baz danych oraz pozostałych systemów służy dokonaniu oceny optymalnego i bezpiecznego wykorzystania usług chmurowych ww. kategorii. Analizy należy dokonywać w ramach dostępnych chmur obliczeniowych określonych w tabeli: "Kategorie systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych wraz z oznaczeniem możliwości utrzymania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych". W przypadku gdy w wyniku analizy stwierdzona zostanie dopuszczalność utrzymania danego systemu w Rządowej Chmurze Obliczeniowej lub w określonej publicznej chmurze obliczeniowej, system powinien zostać ulokowany w odpowiedniej chmurze. Niekorzystanie w powyższym przypadku z usług chmurowych wymaga uzasadnienia. Do przeprowadzenia analizy zobowiązany jest podmiot odpowiedzialny za system teleinformatyczny.
W przypadku systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych, analiza powinna uwzględniać w szczególności, czy:
Analiza powinna zostać przeprowadzona w oparciu o analizę ryzyka.
Kryteria do przeprowadzenia szacowania ryzyka obejmują co najmniej następujące atrybuty:
Decyzja o wykorzystaniu usług chmury obliczeniowej wskazanej w wyniku klasyfikacji należy do właściciela klasyfikowanego systemu teleinformatycznego.
Dokumenty powiązane
Jeżeli chcesz mieć dostęp do wszystkich dokumentów powiązanych, zaloguj się do LEX-a Nie korzystasz jeszcze z programów LEX? Zamów dostęp testowy »