Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.

ROZPORZĄDZENIE
MINISTRA CYFRYZACJI 1
z dnia 5 października 2016 r.
w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników

Na podstawie art. 20a ust. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352 i 1579) zarządza się, co następuje:
§  1.
Rozporządzenie określa szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do wydania certyfikatu oraz stosowania technologii, o których mowa w art. 20a ust. 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w tym zakres i okres przechowywania danych w systemie oraz obowiązki informacyjne, do których zobowiązany jest administrator systemu.
§  2.
1.
System certyfikujący służący do wydawania i unieważniania certyfikatów wykorzystywanych przez podmioty publiczne do uwierzytelniania użytkowników:
1)
umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został on wystawiony;
2)
umożliwia niezwłoczne unieważnienie certyfikatu;
3)
precyzyjnie określa czas wystawienia i unieważnienia certyfikatu, zgodnie z urzędowym czasem określonym w przepisach wydanych na podstawie art. 4 ust. 2 ustawy z dnia 10 grudnia 2003 r. o czasie urzędowym na obszarze Rzeczypospolitej Polskiej (Dz. U. z 2004 r. poz. 144);
4)
potwierdza tożsamość osoby, dla której jest wydawany certyfikat;
5)
spełnia wymagania w zakresie bezpieczeństwa teleinformatycznego, dobierane na podstawie analizy ryzyka;
6)
nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości z wykorzystaniem certyfikatów.
2.
System certyfikujący przechowuje dane dotyczące wydanych certyfikatów przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym certyfikat został wystawiony.
3.
Bieżące zapewnienie poprawności i użyteczności funkcjonalnej systemu certyfikującego wymaga:
1)
systematycznego przeglądu skuteczności zastosowanych środków w zakresie bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień;
2)
utrzymywania w stanie aktualnym dokumentacji operacyjnej i technicznej systemu, zapewniającej jego bezpieczną eksploatację;
3)
zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania systemu;
4)
prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności podczas procesu tworzenia danych do potwierdzania tożsamości;
5)
zapewniania osobom ubiegającym się o certyfikat dostępu do informacji o warunkach stosowania certyfikatu.
4.
Warunki określone w ust. 1-3 uważa się za spełnione, gdy:
1)
została wdrożona polityka certyfikacji spełniająca wymagania wskazane w standardzie ETSI TS 102 042;
2)
zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami standardu CWA 14167-1 lub nowszego w zakresie świadczenia usług innych niż wydawanie certyfikatów kwalifikowanych;
3)
zastosowane zostały systemy i produkty zgodne z wymaganiami standardu CWA 14167-2, 3 i 4 lub nowszego.
5.
Administrator systemu certyfikującego udostępnia deklarację o spełnieniu wymagań określonych w ust. 3 oraz politykę certyfikacji:
1)
w Biuletynie Informacji Publicznej albo
2)
na stronie internetowej podmiotu - w przypadku podmiotów niezobowiązanych przez przepisy prawa do prowadzenia Biuletynu Informacji Publicznej.
§  3.
1.
System zarządzania tożsamością przetwarzający dane dotyczące tożsamości użytkowników wykorzystywany przez podmioty publiczne do uwierzytelniania użytkowników w oparciu o inne metody niż certyfikat:
1)
rejestruje użytkowników;
2)
potwierdza tożsamość użytkowników;
3)
przechowuje i udostępnia dane identyfikacyjne użytkowników systemom autoryzującym uprawnionym do ich otrzymania;
4)
umożliwia zablokowanie konta użytkownika na jego żądanie;
5)
zapewnia rozliczalność, rozumianą jako przypisanie określonego działania w systemie do osoby fizycznej lub procesu oraz umiejscowienie ich w czasie;
6)
zapewnia integralność, autentyczność i poufność danych identyfikacyjnych i uwierzytelniających użytkownika;
7)
zapewnia codzienną synchronizację czasu systemowego z czasem UTC(PL).
2.
System zarządzania tożsamością przechowuje dane dotyczące tożsamości użytkownika przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym wykonano w systemie ostatnią operację z użyciem tożsamości.
3.
Administrowanie systemem zarządzania tożsamością wymaga:
1)
zapewniania wiarygodności procesu rejestracji użytkowników i potwierdzania ich tożsamości;
2)
utrzymywania w stanie aktualnym dokumentacji operacyjnej i technicznej systemu, zapewniającej jego bezpieczną eksploatację;
3)
opracowania i ustanawiania, wdrażania i eksploatowania, monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
4.
Warunki określone w ust. 2 i 3 uważa się za spełnione, jeśli system zarządzania bezpieczeństwem informacji został zweryfikowany pozytywnie przez jednostkę certyfikującą akredytowaną, zgodnie z ustawą z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. poz. 542, 1228 i 1579).
§  4.
1.
System autoryzujący, uwierzytelniając użytkowników, dokonuje weryfikacji tożsamości użytkowników, wykorzystując usługi systemu certyfikującego lub systemu zarządzania tożsamością, oraz przechowuje dane potwierdzające tę weryfikację.
2.
Dane potwierdzające weryfikację, o których mowa w ust. 1, powinny w sposób jednoznaczny umożliwiać:
1)
ustalenie tożsamości osoby, która dokonała czynności w postaci elektronicznej;
2)
stwierdzenie ważności uprawnień w momencie dokonania czynności;
3)
ustalenie czasu dokonania czynności.
§  5.
Rozporządzenie wchodzi w życie z dniem 7 października 2016 r. 2
1 Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).
2 Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. poz. 545), które traci moc z dniem 7 października 2016 r. na podstawie art. 142 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579).

Zmiany w prawie

Darowizny dla ofiar powodzi zwolnione z VAT

Darowizny dla ofiar powodzi zostały zwolnione z VAT - rozporządzenie w tej sprawie obowiązuje od 18 września, ale z możliwością stosowania go do darowizn towarów i nieodpłatnych usług przekazanych począwszy od 12 września do 31 grudnia 2024 r. Stawka 0 proc. będzie stosowana do darowizn wszelkiego rodzaju towarów lub usług niezbędnych do wsparcia poszkodowanych.

Monika Sewastianowicz 18.09.2024
Lewiatan: Za reformę płacy minimalnej będą musieli zapłacić pracodawcy

Projekt ustawy o minimalnym wynagrodzeniu jest słaby legislacyjnie. Nie tylko nie realizuje celów zawartych w unijnej dyrektywie, ale może przyczynić się do pogłębienia problemów firm i spadku zatrudnienia. Nie poprawi też jakości pracy w naszym kraju. Utrwala zwiększanie presji płacowej – uważa Konfederacja Lewiatan.

Grażyna J. Leśniak 10.09.2024
Od dziś ważna zmiana dla niektórych kierowców

Nowe przepisy, które zaczną obowiązywać od wtorku, 10 września, zakładają automatyczny zwrot prawa jazdy, bez konieczności składania wniosku. Zmiana ma zapobiegać sytuacji, w której kierowcy, nieświadomi obowiązku, byli karani za prowadzenie pojazdu, mimo formalnego odzyskania uprawnień.

Robert Horbaczewski 09.09.2024
Będą zmiany w ustawie o działaniach antyterrorystycznych oraz w ustawie o ABW oraz AW

Rząd przyjął we wtorek projekt przepisów, który dostosowuje polskie prawo do przepisów Unii Europejskiej, które dotyczą przeciwdziałania rozpowszechnianiu w Internecie treści o charakterze terrorystycznym. Wprowadzony zostanie mechanizm wydawania i weryfikowania nakazów usunięcia lub uniemożliwienia dostępu do takich treści. Za egzekwowanie nowych przepisów odpowiedzialny będzie szef Agencji Bezpieczeństwa Wewnętrznego. Od jego decyzji będzie się można odwołać do sądu.

Grażyna J. Leśniak 03.09.2024
Ustawa o rencie wdowiej niekonstytucyjna?

O zawetowanie ustawy o tzw. wdowich emeryturach jako aktu dyskryminującego część obywateli zwróciła się do prezydenta Andrzeja Dudy jedna z emerytek. W jej przekonaniu uchwalona 26 lipca 2024 r. ustawa narusza art. 32 Konstytucji, ponieważ wprowadza zasady dyskryminujące dużą część seniorów. Czy prezydent zdążył się z nią zapoznać – nie wiadomo. Bo petycja wpłynęła do Kancelarii Prezydenta 6 sierpnia, a już 9 sierpnia ustawa została podpisana.

Grażyna J. Leśniak 31.08.2024
Nalewki już bez barwników, soków i dodatkowych aromatów

We wtorek, 20 sierpnia, zaczęły obowiązywać przepisy rozporządzenia ministra rolnictwa dotyczące znakowania napojów alkoholowych. Z uwagi na tradycyjne praktyki produkcyjne stosowane przy wyrobie "nalewek", nowe zasady wykluczają możliwość ich barwienia, aromatyzowania czy też dodawania do nich soków owocowych.

Krzysztof Koślicki 20.08.2024
Metryka aktu
Identyfikator:

Dz.U.2016.1627

Rodzaj: Rozporządzenie
Tytuł: Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.
Data aktu: 05/10/2016
Data ogłoszenia: 06/10/2016
Data wejścia w życie: 07/10/2016