Elektroniczna skrzynka podawcza w administracji publicznej od 17 sierpnia
Jako się rzekło w jednym z poprzednich doniesień - Senat przyjął w nowelę ustawy o podpisie elektronicznym. Prezydent pewnie szybko ją podpisze, jednak pojawia się kwestia "elektronicznej skrzynki podawczej", która wynika z rozporządzenia Prezesa Rady Ministrów, wydanego na podstawie ustawy o informatyzacji. Administracja publiczna nie jest wolna od zobowiązań wynikających z przepisów - z dniem 17 sierpnia podmioty publiczne winny dysponować dość drogim rozwiązaniem HSM, tj. Hardware Security Module w odpowiednim standardzie certyfikacji bezpieczeństwa...
"Elektroniczna skrzynka podawcza", ma powstać na podstawie rozporządzenia Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym (rozporządzenie to wydano na podstawie art. 16 ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565)).
Delegacja ustawowa stwierdza:
Art. 16. 1. Podmiot publiczny, prowadząc wymianę informacji, jest obowiązany zapewnić możliwość wymiany informacji również w formie elektronicznej przez wymianę dokumentów elektronicznych związanych z załatwianiem spraw należących do jego zakresu działania, przy wykorzystaniu informatycznych nośników danych lub środków komunikacji elektronicznej.
2. Podmiot publiczny, o którym mowa w ust. 1, jest obowiązany prowadzić wymianę informacji w formie elektronicznej:
1) z wykorzystaniem systemów teleinformatycznych, spełniających minimalne wymagania dla systemów teleinformatycznych;
2) zgodnie z minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w formie elektronicznej.
3. Prezes Rady Ministrów określi, w drodze rozporządzenia, warunki organizacyjno-techniczne doręczania dokumentów elektronicznych, w tym formę urzędowego poświadczania odbioru tych dokumentów przez adresatów, uwzględniając minimalne wymagania dla rejestrów publicznych i wymiany informacji w formie elektronicznej, potrzebę zapewnienia integralności dokumentów elektronicznych oraz usprawnienia i ujednolicenia obiegu dokumentów między podmiotami publicznymi.
Wydane na podstawie tej delegacji rozporządzenie (Dz. U. z dnia 13 października 2005 r.) weszło w życie z wyjątkiem jego § 6, który wchodzi w życie z dniem 17 sierpnia 2006 r. Paragraf ten ma następujące brzmienie:
§ 6.
1. Doręczenia dokumentu elektronicznego za pośrednictwem elektronicznej skrzynki podawczej dokonuje się przez:1) wprowadzenie odebranego dokumentu elektronicznego do systemu teleinformatycznego podmiotu publicznego będącego adresatem tego dokumentu;
2) automatyczne wytworzenie przez system, o którym mowa w pkt 1, urzędowego poświadczenia odbioru;
3) odesłanie nadawcy dokumentu elektronicznego urzędowego poświadczenia odbioru.2. Doręczenia dokumentu elektronicznego na informatycznych nośnikach danych dokonuje się przez:
1) przeniesienie odebranego dokumentu elektronicznego z informatycznego nośnika danych do systemu teleinformatycznego podmiotu publicznego będącego adresatem tego dokumentu;
2) automatyczne wytworzenie przez system, o którym mowa w pkt 1, urzędowego poświadczenia odbioru;
3) zapisanie urzędowego poświadczenia odbioru na tym samym informatycznym nośniku danych, z którego dokument elektroniczny przeniesiono do systemu, o którym mowa w pkt 1.3. Podmiot publiczny przechowuje wytworzone urzędowe poświadczenie odbioru przez okres, przez jaki jest obowiązany przechowywać dokument elektroniczny opatrzony tym poświadczeniem.
4. System teleinformatyczny wykorzystywany przez podmiot publiczny do wytworzenia urzędowego poświadczenia odbioru powinien spełniać wymagania techniczne i organizacyjne określone w załączniku do rozporządzenia.
Przepis ten wejdzie w życie mimo "odroczenia" obowiązku przyjmowania dokumentów elektronicznych przez administracje publiczną (nowela ustawy o podpisie elektronicznym).
Do rozporządzenia, o którym mowa wyżej, jest jeszcze załącznik. Załącznik ten nosi tytuł: Wymagania techniczne i organizacyjne dla systemu teleinformatycznego wykorzystywanego przez podmiot publiczny do wytwarzania urzędowego poświadczenia odbioru:
1. System teleinformatyczny wykorzystywany przez podmiot publiczny do wytworzenia urzędowego poświadczenia odbioru:
1) zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module), zwany dalej "HSM", spełniający wymagania normy FIPS 140-2 (Security Requirements for Cryptographic Modules) poziom 3 lub wyższy, wydanej przez National Institute of Standards and Technology (NIST);
2) umożliwia ewidencjonowanie dokumentów elektronicznych doręczonych temu podmiotowi oraz wytworzonych urzędowych poświadczeń odbioru.2. HSM generuje i przechowuje materiał kryptograficzny służący do wytworzenia urzędowego poświadczenia odbioru. Wszelkie operacje kryptograficzne muszą być wykonywane wewnątrz HSM.
3. HSM musi zapewnić ochronę przed nieuprawnionym dostępem i powinno znajdować się w bezpiecznej obudowie odpornej na nieuprawnioną ingerencję zewnętrzną. W przypadku nieuprawnionej ingerencji zewnętrznej materiał kryptograficzny służący do wytworzenia urzędowego poświadczenia odbioru powinien zostać zniszczony.
4. HSM powinno znajdować się w pomieszczeniu zabezpieczonym systemem kontroli dostępu klasy SA 3 lub wyższym, zgodnie z właściwą Polską Normą.
5. Certyfikat zastosowany do wytworzenia urzędowego poświadczenia odbioru musi zawierać adres elektroniczny jego weryfikacji.
Moduł HSM w takim standardzie jak przewidziano w powyżej przywołanym załączniku kosztuje około 32 tys. złotych (podobno w Polsce dostępne takie urządzenie tylko jednego producenta (dwóch dystrybutorów). Co prawda można było przewidzieć inne standardy, np. te, o których mówią akty wykonawcze do ustawy o podpisie lektronicznym (poza amerykańskim standardem certyfikacji FIPS mowa tam jeszcze o: Common Criteria czy ITSEC).
Porównaj również: Co z przyjmowaniem podań i poświadczeniami odbioru?, w którym to tekście omawiam krótko argumentację, jaką posłużył się dr Grzegorz Sibiga na łamach dzisiejszej Rzeczpospolitej w artykule "Ograniczona wymiana informacji".
W swoim stanowisku dotyczącym reformy systemu podpisu elektronicznego stowarzyszenie Internet Society Poland postulowało rozważenie, "czy na pewno istnieje konieczność stosowania urządzenia HSM (spełniającego wymagania normy FIPS 140-2 na poziomie 3, wydanej przez amerykański Narodowy Instytut Standardów i Technologii (NIST).) we wszystkich jednostkach administracji. Zdaniem Stowarzyszenia ich stosowanie jest uzasadnione w urzędach, w których czas otrzymania dokumentu może mieć istotne znaczenie dla konkurujących o jakieś zasoby firm, jest jednak nieuzasadnionym obciążeniem dla małych jednostek administracji, które będą otrzymywać dokumenty drogą elektroniczną tylko sporadycznie".
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
CREAM- Cash Rules Everything Aound Me?
Czy aby i w przypadku modułu HSM ktoś nieprzypadkowo miał wiele skorzystać (zarobić)? ->
Zdażyło się już, że akt prawny miał być przedmiotem sprzedaży - vide Rywingate. Przepraszam, ale jestem nadmiernie wyczulony, na cokolwiek co budzi moje podejrzenia - Matrix has me :(
Przepraszam za wtrącenie nie na temat, ale zauważyłem dzięki Internetowi że rzymska nazwa kontraktu sprzedaży (emptio-venditio -> po translacji - kupno-sprzedaż) jest wciąż często używana, np. na forach internetowych - oczywiście w polskiej wersji językowej :). A z tego co mi wiadomo, to dzisiaj, w świetle k.c. jest to po prostu sprzedaż, a nie kupno-sprzedaż.
Za ewentualną pomyłkę przepraszam :)