Treść pytania
Wnoszę o udostępnienie informacji publicznej w zakresie:
- Szacunkowej ilości oprogramowania - użytkowanego w Urzędzie i nieposiadającego obecnie wsparcia producenta - inter alia: Windows XP, Windows Vista, etc,
- W jaki sposób - Jednostka Samorządu Terytorialnego - zapewnia odpowiedni poziom bezpieczeństwa systemów teleinformatycznych – w związku z dbałością o aktualizację oprogramowania i zapewnieniem bezpieczeństwa plików systemowych stosownie do wytycznych §20 pkt 12 lit. a oraz lit. e Rozporządzenia ?
- Sposobu zabezpieczenia dostępu do wewnętrznej sieci Urzędu z sieci Internet - czy odbywa się to poprzez: urządzenie firewall, czy serwer oparty o linux. W przypadku pierwszej opcji, fakultatywnie - wnosimy o podanie nazwy producenta, oraz modelu wzmiankowanego urządzenia
- Czy Urząd dysponuje całościową Polityką Bezpieczeństwa Informacji, wymaganą w § 20 ust. 1 i 3 ww. Rozporządzenia. Jeśli odpowiedź jest twierdząca - wnosimy o krótkie - w kilku ogólnych zdaniach - opisanie przedmiotowej polityki,
- Kiedy Urząd ostatni raz przeprowadzał wewnętrzny audyt z zakresu bezpieczeństwa informacji - stosownie do wymogów §20 ust. 2 pkt. 14 Rozporządzenia
- Krótkiego opisu polityki tworzenia kopii zapasowych - w kontekście ww. Rozporządzenia. Fakultatywnie - wnosimy o podanie wersji producenta, wersji oprogramowania oraz zwyczajowego sposobu przechowywania danych - scilicet: czy na dysku sieciowym, dysku USB, nośniku CD/DVD, taśma, pendrive, etc
- Bilateralnie sygnowanych umów (ze strony Urzędu przez upoważnioną osobę) w przedmiocie usług poczty elektronicznej - spełniającą wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (…) ?Fakultatywnie wnosimy o podanie ilości zdefiniowanych skrzynek poczty elektronicznej, oraz nazwy dostawcy (własny serwer, nazwa usługodawcy, etc)
- Danych pracownika Urzędu, który w zakresie wykonywanych zadań i powierzonych kompetencji odpowiada operacyjnie za wyżej wzmiankowany obszar związany z informatyzacją Urzędu. Mówiąc o danych pracownika Urzędu wnioskodawca ma na myśli - imię i nazwisko, adres e-mail, nr tel. etc.
- Oprogramowania (ile procent) użytkowanego na potrzeby wykonywania zadań publicznych (na terenie Urzędu) - może na dzień złożenia niniejszego wniosku, nie posiadać ważnej licencji użytkowania - wymaganej wg. prawa?
Treść odpowiedzi
Z uwagi na to, że w piśmie powołuje się Pan na przepisy cyt:„Rozporządzenia KRI” nie wskazując pełnej nazwy aktu prawnego, organ formułując odpowiedzi na wymienione pytania przyjął, że chodzi o przepisy rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r., poz. 2247 z późń. zm.)
Ad 1.
Szacunkowa ilość oprogramowania użytkowanego w Urzędzie Windows XP Pro wynosi 400 sztuk.
Ad 2.
Dbałość o odpowiedni poziom bezpieczeństwa systemów teleinformatycznych jest zapewniana w Urzędzie Miasta Lublin poprzez wdrażanie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2014-12: Częścią tego Systemu jest m.in.: Polityka Bezpieczeństwa Teleinformatycznego Urzędu Miasta Lublin.
Szczegółowe informacje odnoszące się do konkretnych sposobów zabezpieczenia mają charakter danych technicznych i jako takie nie posiadają waloru informacji publicznej. Z tych powodów nie mogą zostać udostępnione w trybie dostępu do informacji publicznej.
Jak wskazuje się w orzecznictwie, informacje techniczne np. dotyczące sposobu funkcjonowania danego narzędzia użytkowanego przez organ, nie stanowią informacji publicznej. Powyższe stanowisko jest uzasadnione chociażby przyczynami związanymi
z potrzebą zapewnienia bezpieczeństwa i integralności danego narzędzia przez ingerencją tak wewnętrzną jak i zewnętrzną. Wskazanie szczegółowych rozwiązań dot. funkcjonowania systemu teleinformatycznego może ułatwić osobom trzecim ingerencję w ten system poprzez próbę ominięcia stosowanych zabezpieczeń. Mając powyższe na uwadze, dane takie, mające w zasadzie charakter techniczny, nie stanowią informacji publicznej, dlatego też nie podlegają udostępnieniu w trybie dostępu do informacji publicznej.
Ad 3.
Zabezpieczenie dostępu do wewnętrznej sieci Urzędu z sieci internet odbywa się poprzez urządzenie firewall.
Ad 4.
Urząd dysponuje całościową Polityką Bezpieczeństwa Informacji, wprowadzoną zarządzeniem nr 1/3/2017 Prezydenta Miasta Lublin z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin, zamieszczonym w Biuletynie Informacji Publicznej pod linkiem:
Jest ona kluczowym elementem Systemu Zarządzania Bezpieczeństwem Informacji mającym na celu:
- zapewnienie ochrony informacji, adekwatnej do ryzyka i przepisów prawa;
- zapewnienie ciągłości procesów przetwarzania informacji;
- reagowanie na najnowsze zagrożenia dla bezpieczeństwa informacji;
- zapewnienie poprawnego funkcjonowania systemów teleinformatycznych.
Ad 5.
Urząd ostatni raz przeprowadzał wewnętrzny audyt z zakresu bezpieczeństwa informacji - stosownie do wymogów § 20 ust. 2 pkt 14 cyt. rozporządzenia - w 2018 r.
Ad .6
Polityka kopii zapasowych stworzona jest z uwzględnieniem krytyczności przetwarzanych danych, częstotliwości zmian w systemach oraz wykorzystywanej prze nie technologii. Procedura tworzenia kopii zapasowych jest częścią Polityki Bezpieczeństwa. Nie stanowi ona informacji publicznej i nie może być udostępniona w trybie ustawy o dostępie do informacji publicznej.
W przedmiocie tym wypowiedział się Prezes Urzędu Ochrony Danych Osobowych wskazując, że dokumentację taką jak: tj. Polityka Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym, należy traktować jako dokumenty wewnętrzne udostępniane jedynie ograniczonemu kręgowi osób, tylko tym osobom, którym są niezbędne w związku z powierzonymi im zadaniami i tylko tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. Ich ujawnienie może mieć szkodliwy wpływ na wykonywanie przez określony podmiot zadań w zakresie bezpieczeństwa przetwarzania danych. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych.
Ad 7.
Usługa poczty elektronicznej nie jest świadczona przez podmiot zewnętrzny, zatem organ nie dysponuje informacją na temat umów w przedmiocie usług poczty elektronicznej.
Ad .8
Informuję, że dane pracownika Urzędu, który w zakresie wykonywanych zadań i powierzonych kompetencji odpowiada operacyjnie za obszar związany z informatyzacją Urzędu nie stanowi informacji publicznej (por. wyrok NSA z dnia 8 lutego 2018 r. sygn. akt I OSK 1828/17). Jest to bowiem informacja niemająca charakteru czy znamion informacji publicznej, jako że dotyczy wewnętrznej organizacji pracy. Wskazanie imienia i nazwiska osoby realizującej dane zadanie nie jest informacją publiczną. Są to kwestie związane z wewnętrznym funkcjonowaniem organu administracyjnego, z techniczną realizacją zadań, a nie z jego "zewnętrzną" działalnością skierowaną do podmiotów pozostających poza strukturami administracji publicznej. Z tych też względów żądane dane nie mogą być udostępnione w trybie dostępu do informacji publicznej.
Dodatkowo informuję, że w Urzędzie Miasta Lublin zadania związane z ”informatyzacją Urzędu” realizuje Wydział Informatyki i Telekomunikacji zgodnie z zapisami Regulaminu Departamentu Organizacji i Administracji, którego treść jest dostępna w Biuletynie Informacji Publicznej pod linkiem: Zarządzenie nr 56/12/2018 Prezydenta Miasta Lublin z dnia 31 grudnia 2018 r. w sprawie nadania Regulaminu Organizacyjnego Departamentu Organizacji i Administracji.
Ad 9.
Informuję, że wszystkie licencje oprogramowania użytkowanego w Urzędzie posiadają dokumenty potwierdzające jego legalność.
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
11-01-2021 13:19 | Joanna Kapica-Tokarczyk | aktualizacja sposobu wyświetlania linku we wniosku | Wersja aktualnie wyświetlana |
20-08-2019 14:45 | Beata Sak-Łapińska | Utworzenie dokumentu na podstawie sprawy KP-PP-I.1431.234.2019 | Zobacz |