Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

23/05/2024

Co dostawca IT powinien wiedzieć o KRI?

22 maja 2024 r. weszło w życie Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 773) czyli nowe KRI.

Jesteś dostawcą usług i produktów IT dla urzędów i szkół ? Poczytaj o KRI.

KRI to Krajowe Ramy Interoperacyjności. Funkcjonują już od wielu lat,a aktualne KRI zastąpiło poprzednie rozporządzenie z dnia 12 kwietnia 2012 r. (Dz.U. 2017 poz.2247).

Wprawdzie nowe przepisy wprowadziły niewielkie zmiany w stosunku do dotychczasowych KRI (m.in. wycofano nieobowiązującą normę PN-ISO/IEC 24762, uchylono poprzednie przepisy przejściowe), ale jest to dobra okazja, aby przypomnieć o KRI ( tu znajdziesz aktualny tekst KRI: https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20240000773/O/D20240773.pdf).

W wielu umowach zawieranych w trybie zamówień publicznych Zamawiający wymaga, aby dostawca oprogramowania podpisał deklarację, że "zna i spełnia zasady KRI" lub,że oprogramowanie ma zostać wytworzone "zgodnie z KRI". Ale co to tak naprawdę oznacza?

 

 KRI określa :

  • wytyczne dotyczące m.in. wdrożenia lub utrzymania systemów u Twoich Klientów,
  • minimalne wymagania dla systemów teleinformatycznych używanych u Twoich Klientów,
  • minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej wykorzystywanych przez Twoich Klientów.

 

Na podstawie KRI Twój Klient jest zobowiązany m.in. do:

  • prawidłowego zarządzania uprawnieniami (m.in. do systemów IT),
  • aktualizacji oprogramowania IT,
  • opracowania, wdrożenia, monitorowania i doskonalenia Systemu Zarządzania Bezpieczeństwem Infromacji ( SZBI),
  • stosowania mechanizmów kryptograficznych,
  • zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Podmioty publiczne jak i dostawcy niejednokrotnie zwracają uwagę,że KRI mają zbyt ogólny charakter i formę. Natomiast trzeba zwrócić uwagę na fakt,że KRI rekomenduje stosowanie w sektorze publicznym systemu zarządzania bezpieczeństwem informacji opracowanego na podstawie normy jakości: PN-ISO/IEC 27001, zabezpieczenia na podstawie PN-ISO/IEC 27002  oraz zarządzanie ryzykiem w myśl normy PN-ISO/IEC 27005. Normy te (w szczególności 27002) dają wiele praktycznych odpowiedzi na pytania związane z zabezpieczeniem informacji w systemach informatycznych, zadawane dostawcy przez Klientów - podmioty publiczne oraz pokazują jak osiągnąć stan bezpieczeństwa informacji przetwarzanej w formie elektronicznej.

 

Dlaczego warto o pamiętać o KRI i SZBI?

Warto znać potrzeby swoich Klientów, które wynikają z :

  • zasad w zakresie IT, którymi muszą się kierować,
  • wymów w zakresie bezpieczeństwa informacji co do rozwiązaniań IT, które będą zamawiać.

W przypadku pytań związanych z tą tematyką, zapraszamy Państwa do kontaktu z Kancelarią: kancelaria@apogado.pl