Inicjatywa "Wspólna Infrastruktura Informatyczna Państwa".
UCHWAŁA Nr 97RADY MINISTRÓWz dnia 11 września 2019 r.w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa"
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1MINIMALNE WYMAGANIA ORGANIZACYJNE I TECHNICZNE DLA POSIADACZY CPD ORAZ CPD PRZYŁĄCZONYCH DO RZĄDOWEJ CHMURY OBLICZENIOWEJ
MINIMALNE WYMAGANIA ORGANIZACYJNE I TECHNICZNE DLA POSIADACZY CPD ORAZ CPD PRZYŁĄCZONYCH DO RZĄDOWEJ CHMURY OBLICZENIOWEJ
1) PN-EN ISO/IEC 27001 dotyczące zarządzania bezpieczeństwem informacji;
2) PN-EN ISO 22301 dotyczące zarządzania ciągłością działania;
3) PN-ISO/IEC 27005 dotyczące zarządzania ryzykiem w bezpieczeństwie informacji.
2. CPD spełnia wymagania:
1) (uchylony);
2) klasa CPD wynosi minimum 3 według PN-EN 50600 w kategoriach: dostępność, zabezpieczenie przed nieuprawnionym dostępem, zabezpieczenie przed zagrożeniami środowiskowymi, potwierdzona oświadczeniem posiadacza obiektu albo odpowiednim certyfikatem zgodności;
3) w CPD istnieje węzeł sieci rządowej lub występuje możliwość jego zbudowania w ciągu 1 roku od dnia podjęcia decyzji o przyłączeniu CPD do Rządowej Chmury Obliczeniowej, potwierdzona przez ministra właściwego do spraw wewnętrznych;
4) istnieje techniczna możliwość wydzielenia w CPD komory lub klatki w komorze przeznaczonej wyłącznie na potrzeby infrastruktury Rządowej Chmury Obliczeniowej oraz zabezpieczenie rezerwy mocy nie mniej niż 2,5 kW/m2 wydzielonej powierzchni;
5) w CPD jest zapewniona ochrona fizyczna obiektu;
6) CPD posiada system monitorowania pomieszczeń oraz nadzorowania ruchu osób umożliwiający generowanie raportów pozwalających na weryfikację dostępu fizycznego osób do urządzeń infrastruktury Rządowej Chmury Obliczeniowej.
3. Infrastruktura sieci łączności CPD spełnia wymagania:
1) posiada dostęp do przeznaczonej do tego celu sieci rządowej;
2) posiada dostęp do sieci publicznej przez co najmniej 2 niezależne łącza różnych operatorów;
3) posiada możliwość zarządzania przez usługi RKB potwierdzoną przez operatora RKB.
4. Infrastruktura Rządowej Chmury Obliczeniowej umieszczona w CPD spełnia wymagania:
1) w zakresie wsparcia dla infrastruktury:
a) używana infrastruktura (w szczególności: serwery, macierze, urządzenia sieciowe) posiada aktywną gwarancję wsparcia producenta; w przypadku gdy gwarancja wsparcia nie jest odnawiana, posiadacz CPD musi o tym poinformować odbiorców usług,
b) używana infrastruktura korzysta z oprogramowania instalowanego z autoryzowanych źródeł przez przeszkolony i autoryzowany personel,
c) uszkodzone elementy wyposażenia, które zawierają lub mogą zawierać dane odbiorców usług lub dane konfiguracji środowiska infrastruktury przetwarzania lub infrastruktury sieciowej, nie opuszczają pomieszczenia lub wydzielonej strefy CPD: w przypadku uszkodzonych nośników danych muszą one zostać trwale zniszczone pod nadzorem autoryzowanego personelu;
2) w zakresie wsparcia dla oprogramowania:
a) używane oprogramowanie pochodzi z autoryzowanych źródeł i jest przygotowywane do instalacji oraz instalowane przez przeszkolony i autoryzowany personel,
b) używane oprogramowanie zawiera wymagane poprawki bezpieczeństwa, a w szczególności te, które producent opisał jako krytyczne; posiadacz CPD zapewnia weryfikowalny i powtarzalny proces aktualizacji źródeł oprogramowania używanego do świadczenia usług,
c) używane oprogramowanie posiada wsparcie producenta w zakresie aktualizacji i poprawek bezpieczeństwa, a w przypadku oprogramowania używanego do świadczenia usług (np. oprogramowanie systemów operacyjnych, oprogramowanie do wirtualizacji) także hot-line w trybie 24/7/365,
d) posiadacz CPD zapewnia, że usługę realizuje wyłącznie wyszkolony i autoryzowany personel,
e) w przypadku używania oprogramowania open source wymagania, o których mowa w lit. a-d, stosuje się odpowiednio, przy czym rolę producenta oprogramowania przejmuje posiadacz CPD.
5. Posiadacz CPD, który nie udostępnia infrastruktury przetwarzania, spełnia wyłącznie wymagania, o których mowa w ust. 1-3.
6. Potwierdzenie wymagań określonych w ust. 1-3 odbywa się po spełnieniu jednego z następujących warunków:
1) przejściu pozytywnej weryfikacji zgodności z SCCO prowadzonej przez instytucję wskazaną przez operatora RKB;
2) sprawdzeniu przez operatora RKB systemu bezpieczeństwa w zakresie dotyczącym aktywów Rządowej Chmury Obliczeniowej;
3) uzyskaniu certyfikacji.
7. Posiadacz CPD, który nie spełnia wymagań, o których mowa w ust. 1-3, może rozpocząć korzystanie z Rządowej Chmury Obliczeniowej po spełnieniu następujących warunków:
1) złożeniu deklaracji zgodności z wymaganiami norm, o których mowa w ust. 1;
2) przejściu pozytywnej weryfikacji zgodności z SCCO prowadzonej przez instytucję wskazaną przez operatora RKB;
3) podpisaniu stosownego porozumienia dającego operatorowi RKB możliwość sprawdzania systemu bezpieczeństwa w zakresie dotyczącym aktywów Rządowej Chmury Obliczeniowej.
8. Koszty czynności związanych z deklaracją zgodności ponosi posiadacz CPD.
ZAŁĄCZNIK Nr 2 3 KRYTERIA KLASYFIKACJI SYSTEMÓW TELEINFORMATYCZNYCH, KTÓRE MOGĄ KORZYSTAĆ Z USŁUG PRZETWARZANIA W RZĄDOWEJ CHMURZE OBLICZENIOWEJ LUB W PUBLICZNYCH CHMURACH OBLICZENIOWYCH
KRYTERIA KLASYFIKACJI SYSTEMÓW TELEINFORMATYCZNYCH, KTÓRE MOGĄ KORZYSTAĆ Z USŁUG PRZETWARZANIA W RZĄDOWEJ CHMURZE OBLICZENIOWEJ LUB W PUBLICZNYCH CHMURACH OBLICZENIOWYCH
1. Kategorie systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych wraz z oznaczeniem możliwości utrzymania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych;
| Objaśnienie ogólne: Kategorie systemów teleinformatycznych przedstawione w tabeli mają charakter, co do zasady, rozłączny. Kryterium rozróżnienia kategorii uwzględnia główne rodzaje systemów teleinformatycznych działających w organach publicznych oraz ich główne, z punktu widzenia bezpieczeństwa przetwarzania w chmurze obliczeniowej, cechy i przeznaczenie. W praktyce może się okazać, że system teleinformatyczny można zakwalifikować do dwóch lub więcej kategorii. Jeżeli z objaśnień dla poszczególnych kategorii nie wynika pierwszeństwo dla danej kategorii, o możliwości przetwarzania w określonym typie chmury obliczeniowej decyduje analiza poszczególnego systemu teleinformatycznego. Brak oznaczenia w postaci X w kolumnie "Brak możliwości skorzystania z usług chmurowych określonych w uchwale" oznacza, że system teleinformatyczny powinien być utrzymywany przy wykorzystaniu usług chmurowych (zasada pierwszeństwa chmury), a rodzaj dopuszczalnych usług chmurowych zależy od oznaczenia w tabeli. Oznaczenie X w kolumnie "Brak możliwości skorzystania z usług chmurowych określonych w uchwale" i kolumnie "Rządowa Chmura Obliczeniowa" oznacza możliwość utrzymywania systemu teleinformatycznego w ramach Dedykowanej Infrastruktury Teleinformatycznej (DIT) lub w Rządowej Chmurze Obliczeniowej w zależności od wyniku przeprowadzonej analizy. Analogicznie zasady mają zastosowanie w przypadku pozostałych klasyfikacji. | |||||||
| Lp. | Kategoria systemów teleinformatycznych | Brak możliwości skorzystania z usług chmurowych określonych w uchwale 4 (konieczność korzystania z Dedykowanej Infrastruktury Teleinformatycznej - DIT) | Rządowa Chmura Obliczeniowa | Publiczna Chmura Obliczeniowa w jurysdykcji krajowej | Publiczna Chmura Obliczeniowa w jurysdykcji Europejskiego Obszaru Gospodarczego (EOG) | Objaśnienia dla poszczególnych kategorii | |
| 1 | Systemy teleinformatyczne oraz rozwiązania informatyczne, w których są przetwarzane informacje niejawne, z wyłączeniem pkt 2 | X | Dotyczy to systemów teleinformatycznych oraz rozwiązań informatycznych, które w przepisach powszechnie obowiązujących są określone jako systemy niejawne lub w stosunku do których uprawnione organy wskazały, że są w nich przetwarzane informacje niejawne, z wyłączeniem pkt 2. | ||||
| 2 | Systemy teleinformatyczne oraz rozwiązania informatyczne, w których są przetwarzane informacje niejawne o maksymalnej klauzuli "zastrzeżone" lub równoważnej klauzuli międzynarodowej, organizowane przez podmioty, o których mowa w art. 10 ust. 2 pkt 1 i 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2024 r. poz. 632 i 1222), w odniesieniu do których zadania w zakresie nadzoru nad funkcjonowaniem systemu ochrony informacji niejawnych realizuje Służba Kontrwywiadu Wojskowego | X | X | X | X | Dotyczy to systemów teleinformatycznych oraz rozwiązań informatycznych, w stosunku do których uprawnione organy wskazały, że są w nich przetwarzane informacje niejawne o maksymalnej klauzuli "zastrzeżone" lub równoważnej klauzuli międzynarodowej. W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny oraz uzyskania zgody wyrażonej przez Służbę Kontrwywiadu Wojskowego. | |
| 3 | Systemy teleinformatyczne służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2024 r. poz. 812, 1222 i 1562), z wyłączeniem systemów teleinformatycznych Agencji Bezpieczeństwa Wewnętrznego | X | X | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. | |
| 4 | Systemy teleinformatyczne Agencji Bezpieczeństwa Wewnętrznego | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. Dotyczy wszystkich systemów teleinformatycznych Agencji Bezpieczeństwa Wewnętrznego, nawet jeżeli te systemy teleinformatyczne spełniają kryteria kwalifikujące do innej kategorii systemów teleinformatycznych. | |||
| 5 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów 5 , ewidencji 6 oraz innych baz danych 7 przez organy publiczne na podstawie przepisów prawa Unii Europejskiej lub na podstawie zawartych umów międzynarodowych | X | X | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. | |
| 6 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych przez organy wymiaru sprawiedliwości, służby lub formacje umundurowane oraz służby odpowiedzialne za zapewnienie porządku i bezpieczeństwa publicznego, z wyłączeniem służb wskazanych w pkt 7 | X | X | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. | |
| 7 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, prowadzone przez straże gminne i straże leśne | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. | ||
| 8 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych przez organy publiczne, w których przetwarzane są dane referencyjne, wykorzystywane w funkcjonalnościach przewidzianych w art. 35 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu 8 | X | X | W zależności od dokonanej analizy przez podmiot odpowiedzialny za system teleinformatyczny. Analiza zawiera możliwość rozdzielenia komponentów systemów teleinformatycznych, w których realizowane są funkcjonalności Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu. Nie obejmuje systemów teleinformatycznych, które nie wchodzą w zakres podmiotowy uchwały oraz systemów podmiotów prywatnych, np. systemów teleinformatycznych, przy użyciu których wydawane są środki identyfikacji elektronicznej. | |||
| 9 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, zawierające dane referencyjne inne niż wskazane w pkt 8 | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. | ||
| 10 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych, w których są przetwarzane szczególne kategorie danych osobowych w rozumieniu art. 9 i 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. O ile systemy teleinformatyczne mieszczą się w kategoriach 5-8, klasyfikacja dokonywana jest w oparciu o kryteria, o których mowa w pkt 5-8. | ||
| 11 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych innych niż wskazane w pkt 5-9, jeżeli prowadzone są one na podstawie przepisów powszechnie obowiązujących, a w szczególności jeżeli wpisy do tych rejestrów, ewidencji i baz danych mają skutek prawny | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. Skutek prawny systemu teleinformatycznego rozumiany jest zarówno jako skutek konstytutywny, jak i deklaratoryjny. | ||
| 12 | Systemy teleinformatyczne wykorzystywane do prowadzenia rejestrów, ewidencji oraz innych baz danych innych niż wskazane w pkt 1-9, jeżeli prowadzone są one przez podmioty na własny użytek 1 mają charakter wspomagający | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. Kategoria obejmuje systemy teleinformatyczne do prowadzenia rejestrów, ewidencji oraz innych baz danych, które nie są prowadzone na podstawie przepisów powszechnie obowiązujących, a organ stworzył je w celu ulepszenia realizacji zadań publicznych, np. spisy, wewnętrzne ewidencje lub bazy danych, na podstawie których na bieżąco realizuje określone w przepisach powszechnie obowiązujących zadania publiczne. | ||
| 13 | Systemy teleinformatyczne wykorzystywane do udostępniania informacji publicznej lub udostępniania informacji sektora publicznego do ponownego wykorzystania (otwarte dane) | X | X | X | Kategoria obejmuje samodzielne systemy teleinformatyczne niebędące częścią systemów teleinformatycznych należących do kategorii 6-11. Pod warunkiem zakwalifikowania podmiotu odpowiedzialnego za system teleinformatyczny do zakresu podmiotowego uchwały. | ||
| 14 | Systemy teleinformatyczne, w ramach których świadczone są usługi elektroniczne organów administracji publicznej | X | X | X | O możliwości przetwarzania w danej chmurze obliczeniowej decyduje wynik analizy. Kategoria obejmuje systemy teleinformatyczne: - przeznaczone do udostępniania danych z rejestrów, ewidencji oraz innych baz danych w drodze zapytań jednostkowych, - transakcyjne, wykorzystujące dane pochodzące z rejestrów, ewidencji lub innych baz danych, - pozwalające na wnoszenie do organów administracji publicznej oraz doręczanie przez te organy dokumentów stanowiących elementy postępowań administracyjnych oraz innych, przewidzianych w przepisach powszechnie obowiązujących, czynności realizowanych przez te organy. | ||
| 15 | Systemy teleinformatyczne służące do prowadzenia wewnętrznego elektronicznego obiegu dokumentacji lub elektronicznego zarządzania dokumentacją | X | X | X | O możliwości przetwarzania w danej chmurze decyduje wynik analizy. | ||
| 16 | Systemy teleinformatyczne klasy ERP i CRM itp. | X | X | X | O możliwości przetwarzania w danej chmurze decyduje wynik analizy. | ||
| 17 | Pozostałe systemy teleinformatyczne | X | X | X | Kategoria obejmuje inne systemy teleinformatyczne świadczące usługi obsługowe na wewnętrzny użytek, zapewniające komunikację, np. systemy ekstranetowe, intranetowe lub poczty elektronicznej. | ||
2. Kryteria analizy możliwości korzystania przez dany system z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w określonej publicznej chmurze obliczeniowej.
Analiza podmiotu odpowiedzialnego za system teleinformatyczny wykorzystywany do prowadzenia rejestrów, ewidencji oraz innych baz danych oraz pozostałych systemów służy dokonaniu oceny optymalnego i bezpiecznego wykorzystania usług chmurowych ww. kategorii. Analizy należy dokonywać w ramach dostępnych chmur obliczeniowych określonych w tabeli: "Kategorie systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych wraz z oznaczeniem możliwości utrzymania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych". W przypadku gdy w wyniku analizy stwierdzona zostanie dopuszczalność utrzymania danego systemu w Rządowej Chmurze Obliczeniowej lub w określonej publicznej chmurze obliczeniowej, system powinien zostać ulokowany w odpowiedniej chmurze. Niekorzystanie w powyższym przypadku z usług chmurowych wymaga uzasadnienia. Do przeprowadzenia analizy zobowiązany jest podmiot odpowiedzialny za system teleinformatyczny.
W przypadku systemów teleinformatycznych, które mogą korzystać z usług przetwarzania w Rządowej Chmurze Obliczeniowej lub w publicznych chmurach obliczeniowych, analiza powinna uwzględniać w szczególności, czy:
a) system jest wykorzystywany w obszarach o szczególnym znaczeniu dla realizacji zadań państwa związanych z ewidencją ludności, sprawami karnymi lub karnoskarbowymi, prawami majątkowymi obywateli, ewidencją nieruchomości, praw do nieruchomości oraz pojazdów i kierowców,
b) system teleinformatyczny zasila danymi systemy referencyjne państwa,
c) system korzysta z systemów referencyjnych państwa,
d) skutki prawne wpisów i danych zawartych w systemach teleinformatycznych mają wpływ na sytuację prawną (w tym prawno-majątkową) osób lub podmiotów.
Analiza powinna zostać przeprowadzona w oparciu o analizę ryzyka.
Kryteria do przeprowadzenia szacowania ryzyka obejmują co najmniej następujące atrybuty:
1. poufność informacji, w zakresie której należy przeanalizować co najmniej:
1.1. czy naruszenie poufności (np. nieautoryzowane ujawnienie) danych będzie uniemożliwiało lub będzie powodowało istotne zagrożenie dla realizacji szczególnych zadań państwa;
2. integralność informacji, w zakresie której należy przeanalizować co najmniej:
2.1. czy naruszenie integralności (np. nieautoryzowane zmodyfikowanie) danych będzie uniemożliwiało lub będzie powodowało istotne zagrożenie dla realizacji szczególnych zadań państwa;
2.2. czy system jest systemem referencyjnym dla innych systemów, w tym czy modyfikacja danych w systemie może spowodować / ma wpływ na dane przetwarzane w innym systemie o szczególnym znaczeniu dla realizacji zadań państwa;
2.3. czy wpis lub zmiana wpisów w systemie powoduje bezpośrednie skutki prawne;
3. dostępność informacji, w zakresie której należy przeanalizować co najmniej:
3.1. czy naruszenie dostępności danych (np. brak dostępu do danych) będzie uniemożliwiało lub będzie powodowało istotne zagrożenie dla realizacji szczególnych zadań państwa;
3.2. czy w celu realizacji szczególnych zadań państwa system powinien funkcjonować również w przypadku braku świadczenia usług przez dostawców komercyjnych (np. w przypadku upadłości lub zaprzestania świadczenia usług);
3.3. czy system powinien funkcjonować prawidłowo niezależnie od funkcjonowania na rynku dostawców komercyjnych.
Decyzja o wykorzystaniu usług chmury obliczeniowej wskazanej w wyniku klasyfikacji należy do właściciela klasyfikowanego systemu teleinformatycznego.
| Identyfikator: | M.P.2021.1006 t.j. |
| Rodzaj: | uchwała |
| Tytuł: | Inicjatywa "Wspólna Infrastruktura Informatyczna Państwa". |
| Data aktu: | 2019-09-11 |
| Data ogłoszenia: | 2021-11-05 |