Tekst źródłowy strony Dyskusja:14-07.03

Witam,<br />
Proponowane zmiany w Rozporządzeniu RM z 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności ....  nic istotnego nie wnoszą. W tej części bez uwag.<br />
Uwag dotycząca całego Rozporządzenia w szczególności Rozdział IV <br />
Paragraf 20 ust. 1 i 2 zawiera 14 (plus podpunkty) podstawowych wymaganych  i egzekwowanych przez kierownictwo działań dotyczących zarządzania bezpieczeństwem informacji.
Na końcu  ust 3. mówi wprost, że wymagania powyższe uważa się za spełnione jeżeli system zarządzania został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001   itd.
Wymagania (powyżej wspomniane 14 + podpunkty) są dosyć nieudolnie (moim zdaniem) przepisane z normy 27001.<br />
Tak nie powinno się konstruować aktów prawnych.    !!!!!!!!!<br />
Przy okazji sformułowanie Polska Norma PN-ISO/IEC 27001  sugeruje konieczność odniesienia się do polskiej wersji tejże normy czyli PN-ISO/IEC 27001:2007 <br />
Od 1 października 2014r. audyty certyfikacyjne i recertyfikacyjne w zakresie bezpieczeństwa informacji będą musiały być prowadzone z wykorzystaniem normy ISO/IEC 27001:2013. <br />
Warto więc zapoznać się ze zmianami w normie 27001, które można uznać za znaczące. <br />
Przede wszystkim norma oparta została o nową strukturę tzw. Annex SL, jaką mają mieć wszystkie normy dotyczące systemów zarządzania. <br />
Jest jeszcze bardziej zorientowana na zarządzanie ryzykiem, wprowadza kilka zupełnie nowych wymagań szczególnie dla budowania i podnoszenia świadomości oraz komunikacji. 
Dodatkowo zupełnie odmienne podejście do analizy ryzyka oraz nareszcie rozsądnie uporządkowany Załącznik A.<br />
<br />
Konkluzja:<br />
1. Proponowane zmiany  -  bez uwag<br />
2. Rozporządzenie w szczególności Rozdział IV  - źle napisany oraz dodatkowo odnosi się do normy, która zmienia swoją wersję<br />
3. O realnych możliwościach całościowego zastosowania się do wymogów Rozporządzenia  z przyzwoitości pozwolę się nie wypowiedzieć.<br />
<br />
Krótko mówiąc znaczne części w.w Rozporządzenia to klasyczny d...chron<br />
<br />
Ukłony<br />
<br />
Jacek Niwicki<br />
=====================================================================================================================================================<br />
Rzecz w tym, że jednym z zadań przewidzianych w Programie Zintegrowanej Informatyzacji Państwa (PZIP), któryzostal uchwalony 8 stycznia 2014 przez RM  jest powołanie przy Komitecie Rady Ministrów ds. Cyfryzacji międzyresortowego zespołu ds. osiągania interoperacyjności. PZIP nie ustala składu Zespołu, wspomina tylko że powinien byc zasilany przez ekspertów. Wydaje się największy NGO's teleinformatyków powinien wesprzeć MAC w pracach zespołu zwlaszcza że jak widac po projekcie rozporzadzenia rewizja KRI idzie tak sobie<br />
NN<br />
========================================================================================================================================================<br />
Zaintrygowało mnie zdanie:<br />
Od 1 października 2014r. audyty certyfikacyjne i recertyfikacyjne w zakresie bezpieczeństwa informacji będą musiały być prowadzone z wykorzystaniem normy ISO/IEC 27001:2013. <br />
Jaka jest podstawa tego że "będą musiały"?<br />
Nie ma jeszcze zatwierdzonej polskiej wersji tej normy.  I nie jestem wcale pewien, że do 1 X 2014 już będzie.<br />
<br />
pozdrawiam,<br />
Janusz Ż<br />
==========================================================================================================================================================<br />
Z  tym „będą musiały”  to odrobinę zbyt daleko posunięty wniosek. Faktem jest że ISO/IEC 27001:2007  to norma przestarzała a aktualna wersja to ISO/IEC 27001:2013. Masz też rację, że tempo prac PKN nie jest oszałamiające. Natomiast  rozporządzenie może a właściwie powinno wskazywać na najnowszą wersję i wcale nie oznacza to że musi to być wersja polska. Zrozumiałym gdyby rozporządzenie nakazywało stosowanie – wtedy owszem norma PKN jest jak najbardziej na miejscu. Nawiązanie do ISO/IEC a nie PN-ISO/IEC nie byłoby odstępstwem w KRI gdyż wymienia ono również ISO/IEC 10646.
Kolega  Jacek ma co do jednego rację – nie mamy zbyt dużo do powiedzenia jeśli chodzi o treść projektu zmian – dobrze że zapewniają zgodność z aktami prawnymi UE i rozszerzają grupę dopuszczalnych standardów. Rozczarowuje jednak zakres zmian i tym powinniśmy się zająć. <br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:59, 4 sie 2014 (CEST)<br />
========================================================================================================================================================<br />
do. Jacek Niwicki<br />
<br />
Zapoznaliśmy się z uwagami Kolegi dotyczącymi nowelizacji KRK i jesteśmy zgodni co do tego, że zmiany są kosmetyczne i raczej godne wsparcia. Rozczarowuje jednak zakres zmian. Czy zdaniem kolegi należałoby wskazać konkretne zmiany w rozdziale 4 czy jedynie zwrócić uwagę na konieczność aktualizacji ze względu na nową wersję normy?<br />
Osobiście przychylam się do drugiej opcji gdyż nie powinniśmy odwalać pracy za MAiC a jedynie wskazywać kierunek.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 08:44, 5 sie 2014 (CEST)<br />
==========================================================================================================================================================<br />
Moim zdaniem, dopóki nie ma oficjalnej polskiej wersji normy ISO/IEC 27001:2013 nie ma podstaw aby wymagać, żeby w rozporządzeniu odwoływano się do nowej wersji tej normy.<br />
<br />
Janusz Żmudziński<br />
====================================================================================================================================================================
Wymagać to w ogóle nie możemy (niestety…) ale sugerować.. np.:<br />
„''Zdaniem PTI zakres zmian wprowadzanych opiniowanym projektem jest zbyt skromy. Sugerujemy podjęcie prac w ramach działań międzyresortowego zespołu ds. osiągania interoperacyjności powołanego przez Komitet Rady Ministrów do spraw Cyfryzacji zgodnie z Programem Zintegrowanej Informatyzacji Państwa. Szczególną uwagę należałoby zwrócić na rozdział IV zawierający między innymi opis systemu zarządzania bezpieczeństwem informacji. Przygotowany on został w oparciu o normę PN-ISO/IEC 27001:2007 stanowiącą tłumaczenie normy ISO/IEC 27001:2007, która doczekała się już aktualizacji w postaci ISO/IEC 27001:2013.''”<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 15:45, 5 sie 2014 (CEST)<br />
=====================================================================================================================================================================<br />
Zgadzam się  z taką sugestią.<br />
Ale bym zmienił " Sugerujemy podjęcie prac " na " Rekomendujemy podjęcie prac "<br />
<br />
pozdrawiam,<br />
Janusz Żmudziński<br />
=======================================================================================================================================================================<br />
Jeszcze dodałbym trochę „cukrzenia” przed:<br />
<br />
Sz. P. Rafał Trzaskowski<br />
Minister Administracji i Cyfryzacji<br />
<br />
W nawiązaniu do pisma DP-WL.0211.85.2014 z dnia 22 lipca 2014 r. dotyczącego projektu rozporządzenia Rady Ministrów zmieniającego rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych przesyłamy swoje uwagi.<br />
Polskie Towarzystwo Informatyczne z zadowoleniem przyjmuje zatwierdzenie nowych standardów zapewniających zgodność z przepisami unijnymi.<br />
Zdaniem PTI zakres zmian wprowadzanych opiniowanym projektem jest jednak zbyt skromy. Rekomendujemy podjęcie prac w ramach działań międzyresortowego zespołu ds. osiągania interoperacyjności powołanego przez Komitet Rady Ministrów do spraw Cyfryzacji zgodnie z Programem Zintegrowanej Informatyzacji Państwa. Szczególną uwagę należałoby zwrócić na rozdział IV zawierający między innymi opis systemu zarządzania bezpieczeństwem informacji. Przygotowany on został w oparciu o normę PN-ISO/IEC 27001:2007 stanowiącą tłumaczenie normy ISO/IEC 27001:2007, która doczekała się już aktualizacji w postaci ISO/IEC 27001:2013.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 16:50, 6 sie 2014 (CEST)


Dany przypadek to wyłącznie konieczność wprowadzenia zgodności naszego rozporządzenia z unijnym w ślad za zmianą tego ostatniego. Jest to w zasadzie sprawa formalna, i zostało to zrobione. Wystarczy, że to stwierdzimy i już. Domaganie się, aby było to powodem do mocnej rewizji rozporządzenia mocno wykracza poza prośbę o zaopiniowanie. Można jednak wspomnieć o tym, ale z podkreśleniem tego wyjścia poza program. Proponuję taki tekst:
{| class="wikitable" width=100%
! 
|-
|
W nawiązaniu do pisma DP-WL.0211.85.2014 z dnia 22 lipca 2014 r. dotyczącego projektu rozporządzenia Rady Ministrów zmieniającego rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Polskie Towarzystwo Informatyczne nie wnosi uwag do oczywistej zmiany zapewniającej zgodność z przepisami unijnymi.<br><br />Warto jednak w kontekście danego rozporządzenia rozważyć podjęcie prac - w ramach działań międzyresortowego zespołu ds. osiągania interoperacyjności powołanego przez Komitet Rady Ministrów do spraw Cyfryzacji zgodnie z Programem Zintegrowanej Informatyzacji Państwa - w zakresie szczególnie rozdziału IV zawierającego między innymi opis systemu zarządzania bezpieczeństwem informacji. Przygotowany on został w odniesieniu do normy PN-ISO/IEC 27001:2007 stanowiącej tłumaczenie normy ISO/IEC 27001:2007, która doczekała się już aktualizacji w postaci ISO/IEC 27001:2013. Rozporządzenie powinno we wskazanym rozdziale bazować na aktualnym wydaniu normy.
|}
[[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 23:50, 6 sie 2014 (CEST)<br />
Janusz Żmudziński nie wnosi uwag, ja też, NN zadowolony a Jacek Niwicki,  jest poza zasięgiem - myślę że można puszczać<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 11:38, 7 sie 2014 (CEST)
:Kogo wpisujemy jako autorów tekstu? [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 22:25, 11 sie 2014 (CEST)