Nie ma idealnego certyfikatu
CRN Polska rozmawia z Wojciechem Wiewiórowskim, dyrektorem Departamentu Informatyzacji w MSWiA, o kłopotach z certyfikatem dla e-kontrolerów oraz o pierwszej planowanej kontroli systemów informatycznych w MSWiA.
CRN Jak wygląda w praktyce
realizacja zadań, wynikających
z przepisów dotyczących kontroli systemów teleinformatycznych z ustawy o informatyzacji podmiotów realizujących zadania publiczne z 2005 r.?
Wojciech Wiewiórowski Dzisiaj, po czterech latach obowiązywania ustawy, możemy przyznać, że ten model kontroli się nie sprawdził. Dlatego proponujemy jego zdecydowaną zmianę. Jednocześnie musimy pamiętać, że ustawa cały czas obowiązuje i, mimo że planowana jest nowelizacja, nie możemy zapominać o konieczności wypełniania norm już dziś obowiązujących.
CRN Kiedy zacznie obowiązywać nowa?
Wojciech Wiewiórowski Być może w 2009 r., a może dopiero na początku 2010. Chcielibyśmy, aby ustawa została szybko uchwalona, ale jednocześnie, by była dobra. Prowadziliśmy długie konsultacje środowiskowe i uzgodnienia międzyresortowe, m.in. po to, aby pójść do Sejmu z jak najlepiej uzgodnionym projektem. Pojawiają się jednak głosy, że kontrola w ustawie powinna wyglądać zupełnie inaczej i być może te propozycje wrócą podczas prac w Sejmie. W każdym razie jesteśmy przekonani, że nasze propozycje są lepsze niż znajdujące się w obecnie obowiązującej ustawie.
CRN Zanim projekt nowelizacji trafił do uzgodnień międzyresortowych, był w nim zapis zakładający, że e-kontrolerom wystarczy certyfikat Certified In-formation System Auditor lub Certified Information Security
Manager i nie będą musieli legitymować się świadectwem kwalifikacji wystawianym przez MSWiA (pisaliśmy o tym w artykule „Urząd w Internecie” opublikowanym w nr 23/2008 CRN Polska). Jak to wygląda obecnie?
Wojciech Wiewiórowski Dotąd nie było zapotrzebowania na przeprowadzanie kontroli. Jednak, jak na wymóg skontrolowania wszystkich systemów teleinformatycznych w szeroko rozumianej administracji publicznej – rządowej i samorządowej – oraz podmiotach realizujących zadania publiczne, czyli np. w sądach, kontrolerów jest zdecydowanie za mało. Powoływanie dwóch czy nawet 30 kontrolerów rocznie nie wystarczy do audytowania wszystkich tych systemów teleinformatycznych. Proponujemy więc nowe rozwiązanie, w jakimś stopniu zapożyczone z innych przepisów kontrolnych w administracji publicznej, czyli uznawanie certyfikatów zewnętrznych, które uprawniałyby do przeprowadzania kontroli. Podczas konferencji uzgodnieniowej ustalono, że minister właściwy do spraw informatyzacji określi w drodze rozporządzenia wykaz certyfikatów uprawniających do prowadzenia kontroli systemów teleinformatycznych. Uznano, że ewentualne zmiany na liście certyfikatów mogą być na tyle częste lub ważne, że wprowadzanie ich w postaci zmian ustawowych byłoby nielogiczne.
CRN Jakie to będą certyfikaty?
Wojciech Wiewiórowski Problem polega na tym, że nie ma idealnego certyfikatu, który by obejmował wszystkie zagadnienia. Okazuje się, stworzenie takiego certyfikatu, jak zaproponowano w 2005 r., w postaci ministerialnego świadectwa kwalifikacji, nie rozwiązuje problemu. W związku z tym lepiej odwołać się do czegoś, co istnieje na rynku i jest sprawdzone.
CRN A co z e-kontrolerami, którzy uzyskali uprawnienia w MSWiA?
Wojciech Wiewiórowski Osoby, które uzyskały ministerialne świadectwo kwalifikacji, będą miały nadal prawo do przeprowadzania kontroli. A kiedy minie pięcioletni okres, na jaki zostało ono wystawione, utracą uprawnienia, nie przewiduje się bowiem przeprowadzania przez MSWiA kolejnych egzaminów. Jeśli więc nie będą się legitymowały którymś z certyfikatów zewnętrznych, a nadal będą chcieli mieć uprawnienia, będą musiały uzyskać jeden z nich.
CRN Pierwszy ministerialny egzamin na e-kontrolerów zdały dwie osoby. Obecnie w MSWiA trwa drugi i już wiadomo, że również dwie zaliczyły część pisemną, a kolejnych siedem zakwalifikowało się do części ustnej. W najlepszym wypadku e-kontrolerów będzie więc jedenastu. Co sprawia, że jest ich tak niewielu?
Wojciech Wiewiórowski Miałem przyjemność uczestniczenia w pracach obu komisji egzaminacyjnych. Podczas egzaminów na kontrolerów obserwowaliśmy dwie grupy osób. W jednej byli ludzie o dużym doświadczeniu w administracji publicznej i sporej wiedzy prawnej, którzy bez kłopotów radzili sobie z częścią prawną albo standaryzacyjną testów, natomiast nie radzili sobie z pytaniami informatycznymi. W drugiej grupie byli bardzo doświadczeni informatycy, którzy mieli sporą wiedzę o systemach teleinformatycznych oraz ich sprawdzaniu od strony technicznej, ale ich znajomość sposobu przeprowadzania kontroli administracyjnej oraz obowiązujących uregulowań prawnych była niewystarczająca. Bardzo trudno natomiast znaleźć osoby, które dobrze orientują się w obu dziedzinach.
CRN I chyba nic dziwnego, bo kombinacja prawnika z informatykiem jest raczej dość niezwykła (pisaliśmy o tym w artykule „Zawód dla wybrańców” opublikowanym w CRN Polska nr 20/2008). Czy można temu jakoś zaradzić?
Wojciech Wiewiórowski Tworząc akt prawny, musimy wymagać i jednego, i drugiego typu wiedzy od tych samych osób, natomiast problem pojawia się już na poziomie edukacji. Ludzie kończący kierunki prawnicze albo administracyjne mają nikłą wiedzę na temat kwestii technicznych. Z kolei wprowadzanie jakiejkolwiek wiedzy prawnej na kierunkach technicznych stanowi wyjątek. Staramy się z tym walczyć, choć nie jest to proste. Trzeba jednak przyznać, że między dzisiejszym podejściem do tej kwestii a takim, które było kilka lat temu, różnica jest duża. Nie chcę jednak demonizować problemu, bo taki sam występował w przypadku standardów rachunkowości. Przecież audytor finansowy również musi opanować kombinację specjalistycznej wiedzy z zakresu rachunkowości z wiedzą prawną. W tym wypadku jednak szybciej zrozumiano, że tego rodzaju kombinacja jest potrzebna. Trudniej natomiast przekonać środowisko akademickie do konieczności powiązania wiedzy dotyczącej systemów teleinformatycznych czy informatyki w ogóle z wiedzą prawną.
CRN Pierwsi dwaj e-kontrolerzy zdali egzamin państwowy ponad rok temu i do tej pory nie mieli żadnego zlecenia, a ich świadectwo kwalifikacji będzie ważne już tylko cztery lata. Czy twórcy nowelizacji brali pod uwagę obligatoryjne przesunięcie terminu ważności tych dokumentów, aby liczyć go od momentu rozpoczęcia pierwszych kontroli?
Wojciech Wiewiórowski Na razie nie przewidywano ani nie rozważano tego typu rozwiązania, nie było ono również zgłaszane podczas uzgodnień międzyresortowych. Nie wiemy, czy taka propozycja zostanie zgłoszona w Sejmie. Chcielibyśmy jednak, by nowa ustawa nie krzywdziła tych osób, które uprawnienia uzyskały na podstawie dotychczasowych przepisów.
CRN Kiedy e-kontrolerzy zaczną być powoływani do kontroli?
Wojciech Wiewiórowski Wiosną 2009 r. chcemy przeprowadzić pierwszą kontrolę systemów teleinformatycznych w MSWiA, a jej zakres będzie w dużej mierze zależał od możliwości budżetowych resortu. Przygotowujemy zlecenia dla dwóch kontrolerów, którzy najwcześniej uzyskali uprawnienia. Myślę też, że nie powinni się obawiać, iż nie dostaną kolejnych. W chwili uchwalania ustawy zakładano, że to będzie cały ciąg zleceń, a nie pojedyncze kontrole, ale tego w tej chwili nie jesteśmy w stanie im zapewnić.
Kontrole zaczynamy od siebie m.in., aby sprawdzić, na ile są skuteczne, i zobaczyć, jak to rozwiązanie sprawdza się w praktyce. Potrwają od jednego do trzech miesięcy, w zależności od wielkości kontrolowanego systemu. Po pierwszych audytach organy administracji publicznej zrozumieją, do czego taka kontrola będzie im przydatna, i na tej podstawie ocenią, na ile będą chciały z niej korzystać. Chciałbym, aby kontroli było dużo. Dopóki jednak instytucje się nie zorientują, że odnoszą dzięki nim korzyści, będzie ich z pewnością niewiele, choć nie potrafię powiedzieć ile. Konieczny jest okres rozruchu, ale nie mogę wyrokować, czy potrwa on rok, dwa czy trzy lata.
CRN Czy instytucje publiczne będą miały pieniądze na tego typu kontrole?
Wojciech Wiewiórowski Ministerstwa i urzędy marszałkowskie mają w budżetach środki przewidziane na przeprowadzanie kontroli i audytów, ale z reguły brakuje wyraźnych zapisów, jaką ich część należy przeznaczyć na kontrole wynikające z ustawy o informatyzacji.
CRN Czy w ramach środków, które znajdują się w budżetach poszczególnych instytucji, urzędy same będą decydowały, czy i jaka część pieniędzy zostanie przeznaczona na e-kontrole, czy zostanie im to narzucone z góry?
Wojciech Wiewiórowski Organy samorządu terytorialnego i podlegające im urzędy nie dostaną od MSWiA polecenia przeprowadzenia tego typu kontroli, bo ministerstwo nie jest wobec nich jednostką nadrzędną. Nie może tego nakazać również innym resortom. Natomiast ma prawo wymagać od urzędów sobie podległych, żeby poddały e-kontroli systemy, jakie u siebie mają. Podobnie np. minister finansów mógłby wydać tego typu nakaz podlegającym mu urzędom skarbowym czy celnym.
CRN W jaki sposób instytucje będą wybierały e-kontrolera do przeprowadzenia konkretnej kontroli?
Wojciech Wiewiórowski To, czy kontrolowana instytucja zarządzi w tej sprawie przetarg, czy zleci e-kontrolerowi przeprowadzenie kontroli z wolnej ręki, będzie zależało od przepisów obowiązujących dany organ administracji publicznej oraz od wartości przedmiotu zamówienia, czyli od wielkości kontrolowanego systemu. Trzeba też pamiętać, że czasem rodzaj obowiązków służbowych danego e-kontrolera uniemożliwi mu przeprowadzenie kontroli w innej instytucji, jeśli instytucje te łączy jakaś zależność, np. jedna korzysta z dotacji drugiej. Dlatego kontroler musi przed przyjęciem zlecenia uzyskać zgodę swego bezpośredniego przełożonego.
CRN Czy e-kontrolerzy mogą przeprowadzać kontrole systemów teleinformatycznych w prywatnych firmach?
Wojciech Wiewiórowski Przedsiębiorca może wynająć do skontrolowania własnych systemów informatycznych, kogo chce. Trzeba jednak podkreślić, że o systemie skontrolowanym przez e-kontrolera, który legitymuje się certyfikatem wystawionym przez MSWiA, nie będzie można powiedzieć, że został sprawdzony przez MSWiA.
Podobne artykuły
Według map MSWiA Internet jest wszędzie
Przedsiębiorcy świadczący usługi dostępu do Internetu na etapie „ostatniej mili” nie uzyskali pieniędzy z UE. Zawiniło MSWiA, które przy weryfikacji wniosków o dotacje posłużyło się mapami tzw. białych plam, które nie odzwierciedlają rzeczywistej sytuacji, zostały bowiem opracowane do całkiem innych celów.
Urząd w Internecie
Sprawy urzędowe będzie można załatwiać przez Internet. Urzędnicy będą musieli odpowiadać drogą elektroniczną na pisma złożone przez Internet, a obywatele będą mogli przesyłać dokumenty do urzędu bez konieczności stosowania e-podpisu – jak wynika ze zmian w przygotowanym przez MSWiA projekcie nowelizacji ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.
Zawód dla wybrańców
Przepisy o e-kontrolerach systemów teleinformatycznych obowiązują w naszym kraju od trzech lat. W Polsce są tylko dwie takie osoby. Kto więc przeprowadza kontrole? Nikt, bo żaden z e-kontrolerów nie dostał jeszcze zlecenia od MSWiA.