Czym jest KRI?
KRI, czyli Krajowe Ramy Interoperacyjności to zbiór wymagań i standardów, które mają zapewnić, że systemy teleinformatyczne używane przez jednostki administracji publicznej w Polsce mogą ze sobą współdziałać, wymieniać dane oraz działać zgodnie z określonymi zasadami bezpieczeństwa.
Przykładowe wymagania KRI:
- Stosowanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
- Kontrola dostępu do systemów informatycznych
- Posiadanie i przestrzeganie polityki bezpieczeństwa informacji
- Zapewnienie zgodności z normami ISO (np. ISO/IEC 27001)
- Regularne przeglądy i audyty
Kogo dotyczą wymagania KRI?
Zgodnie z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005 Nr 64 poz. 565 z późn. zm.) oraz rozporządzeniem w sprawie KRI, obowiązki w zakresie interoperacyjności, bezpieczeństwa i standardów danych dotyczą:
- Jednostek administracji rządowej i samorządowej,
- Jednostek budżetowych,
- Innych podmiotów realizujących zadania publiczne przy użyciu systemów teleinformatycznych.
Zadania związane z wdrożeniem KRI
Wdrożenie KRI wymaga szeregu działań zarówno organizacyjnych jak i technicznych. Celem tych działań jest zapewnienie, że systemy informatyczne jednostki są zgodne z obowiązującymi przepisami oraz zdolne do bezpiecznej i efektywnej współpracy z innymi systemami.
Najważniejsze obowiązki przy wdrażaniu KRI to:
- Audyt wstępny i analiza ryzyka
- Testy systemów
- Opracowanie i wdrożenie pełnej dokumentacji
- Wdrożenie zarządzania i nadzoru nad incydentami
- Szkolenia
- Audyty wewnętrzne
- Działania korygujące i zapobiegawcze
Za niewdrożenie KRI w jednostce odpowiada jej kierownik (np. wójt, dyrektor szkoły, dyrektor urzędu). Konsekwencje z jakimi trzeba będzie się zmierzyć mają wymiar nie tylko prawny. Zagrażają one przede wszystkim bezpieczeństwu jednostki oraz mogą spowodować problemy z interoperacyjnością i integracją systemów.
Do najczęstszych nieprawidłowości należą:
- Naruszenie przepisów RODO i ustawy o ochronie danych osobowych, jeśli dane osobowe nie zostaną należycie zabezpieczone
- Niska odporność systemów na awarie, incydenty lub cyberataki
- Brak ciągłości działania
- Utrata lub wyciek danych
- Brak możliwości wymiany danych z innymi urzędami,
- Utrudnienie w funkcjonowaniu e-usług np. ePUAP, mObywatel
Korzyści z wdrożenia KRI?
- Sprawniejsza wymiana informacji między urzędami
- Większe bezpieczeństwo danych osobowych obywateli
- Zgodność z prawem i unijnymi standardami
- Przygotowanie jednostki do korzystania z cyfrowych usług publicznych takich jak e-usługi, ePUAP, mObywatel
- Oszczędność czasu i pieniędzy przy integracji systemów
- Lepsza obsługa obywateli i firm współpracujących.
Zaufało nam już wiele Organizacji. Jeśli zależy Ci na kompleksowym wdrożeniu KRI w swojej Jednostce, zapoznaj się z ofertą naszej firmy.
Podsumowanie
Brak wdrożenia KRI to realne ryzyko – prawne, techniczne i wizerunkowe. Może prowadzić do kar, utraty funduszy (dofinansowania) i osłabienia funkcjonowania urzędu. Jednostki administracji publicznej powinny potraktować KRI nie jako biurokratyczny wymóg, lecz narzędzie poprawiające jakość i bezpieczeństwo usług publicznych.
Autor Janina Woszkowska
Zobacz nasze usługi:
Audyt bezpieczeństwa informacji
Szkolenie z zakresu cyberbezpieczeństwa
Inspektor Ochrony Danych – RODO/IOD
Przeczytaj więcej:
Bezpieczeństwo informacji w JST
DPIA, ocena skutków dla ochrony danych sygnalisty
Bezpieczeństwo informacji w JST
Cyberslashing – czym jest i jak się przed tym chronić
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych
