30 maja 2012 roku weszło w życie „Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.” Na jego mocy, do końca maja 2015 roku, wszystkie podmioty zostały zobligowane do prowadzenia swoich serwisów zgodnie ze standardami europejskimi, jak również do stałego i usystematyzowanego monitorowania własnej infrastruktury IT.
Rozporządzenie KRI określa sposoby postępowania podmiotu realizującego zadania publiczne w zakresie standardów wykorzystywanych w monitorowaniu, przeglądzie i udoskonalaniu systemu IT. Normy te doprowadzić mają do zapewnienia powszechnego dostępu do usług świadczonych w postaci elektronicznej. Dodatkowo stawiają sobie za cel usprawnienie e-administracji. Wymogi te zostały wprowadzone na podstawie europejskich wytycznych, między innymi – normy ISO27001. Zawarty w niej model „Planuj – Wykonuj – Sprawdzaj – Działaj” jest powszechnie stosowany w Systemie Zarządzania Bezpieczeństwem Informacji i został uznany na całym świecie. Z jego wdrożenia podmioty czerpią wiele korzyści – między innymi są to: identyfikacja zasobów informatycznych, wskaźnik poziomu ryzyka wycieku informacji, możliwość doboru adekwatnych zabezpieczeń czy wreszcie ocena skuteczności wdrożonych działań zapobiegawczych oraz korygujących. Wszystkie one pozwalają na ciągłą kontrolę poziomu bezpieczeństwa, kompleksowe unormowanie i ujednolicenie zagadnień związanych z przechowywaniem informacji w organizacjach publicznych.
Rozporządzenie KRI, czyli nowe wytyczne bezpieczeństwa infrastruktury IT
Poza korzyściami dla obywateli oraz usprawnieniu e-administracji, KRI wprowadza również dyrektywę odnoszącą się do minimalnych wymagań bezpieczeństwa, które placówki muszą spełnić, nie określając dokładnie sposobu ich realizacji. Każdy podmiot może samodzielnie zadecydować, jakiego narzędzia użyje do prowadzenia ewidencji sprzętu i monitorowania swojej infrastruktury IT, by spełnić kryteria Rozporządzenia.
– Brak narzucenia decydentom IT konkretnych narzędzi to mądre posunięcie. Dzięki temu, osoby odpowiedzialne za bezpieczeństwo w organizacjach, mogą wybrać takie rozwiązania, które będą najlepiej odpowiadać ich indywidualnym wymaganiom i zapotrzebowaniu – mówi Grzegorz Oleksy, dyrektor firmy Axence. Z pewnością warto podejść do tego tematu bardziej kompleksowo, upatrując w tym okazji do uporządkowania i zmodernizowania stanowiska oraz narzędzi do zarządzania środowiskiem teleinformatycznym. Niejednokrotnie, administratorzy sieci czy nawet dyrektorzy działów IT w rozmowach z nami skarżą się na to, jak trudno jest im czasem przekonać zarząd czy inne osoby mające decydujący głos w zakresie ponoszenia wydatków na IT, o konieczności podjęcia pewnych inwestycji. Rozporządzenia takie jak KRI są w tego typu sytuacjach
z pewnością bardzo pomocne. – kontynuuje Grzegorz Oleksy.
Co więcej, często można spotkać się z opinią, że środki wydawane na programy do monitorowania systemów teleinformatycznych są zbędnym wydatkiem, ponieważ sieć firmowa jest mała, a prawdopodobieństwo awarii minimalne. Nic bardziej mylnego, ponieważ każda sieć, nawet ta najmniejsza, narażona jest na różnego rodzaju zagrożenia. Dzięki narzędziom do zintegrowanego zarządzania infrastrukturą IT, można takie podatności oraz wąskie gardła skuteczniej lokalizować i eliminować, a przy tym lepiej wykorzystywać posiadane przez organizację zasoby sprzętu czy oprogramowania. Przykładowo, zarządzający infrastrukturą IT ma bieżący dostęp do listy urządzeń wymagających odnowienia licencji czy aktualizacji ważnych sterowników. Dzięki temu jest on w stanie na bieżąco monitorować stan licencji, terminy końca okresów gwarancyjnych posiadanych zasobów sprzętu i oprogramowania, co przekłada się na mniej uciążliwą pracę, a także zdecydowanie szybsze rozwiązywanie problemów w przypadku wystąpienia awarii.
Minimalne wymagania – maksymalna korzyść
Monitorowanie infrastruktury IT jest bardzo ważnym zagadnieniem – również dla efektywności podmiotu. Dlatego też minimalne wytyczne względem niego znalazły się w rozdziale IV KRI. To, co wzbudza szczególny entuzjazm u zarządzających bezpieczeństwem, to zawarte w dokumencie wskazania audytów wewnętrznych w zakresie bezpieczeństwa informacji.
– Każdy administrator zdaje sobie sprawę z tego, jak ważna jest stała kontrola zmian zachodzących w sieci. Ewidencja sprzętu to pierwszy krok do zapobiegania poważnym problemom i szybszego rozwiązywania problemów sprzętowych. Bez niej, precyzyjne określenie stanu zasobów oraz zidentyfikowanie przeciążeń jest zadaniem znacznie utrudnionym, a nawet uciążliwym. Konsekwencji wynikających z nieprawidłowo prowadzonego, czy wręcz braku ewidencjonowania sprzętu, może być mnóstwo. Począwszy od uszkodzeń komponentów i obniżenia komfortu pracy użytkowników, skończywszy na utracie danych czy wręcz narażeniu przedsiębiorstwa na straty finansowe – mówi Marcin Matuszewski, ekspert Pomocy Technicznej firmy Axence. – Minimalne wymagania wprowadzone przez KRI to maksymalna korzyść, nie tylko dla lepiej i szybciej obsługiwanych użytkowników, ale również dla działów IT.
Wysokie standardy technologii, powszechny dostęp do Internetu o wysokiej przepustowości oraz coraz bardziej złożone i zaawansowane narzędzia do zarządzania w podmiotach publicznych czy też komercyjnych to norma współczesnego świata. W odpowiedzi na te właśnie zmiany wydano „Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”. Zarządzanie sieciami to odpowiedzialne zadanie, w którym liczy się skuteczność wyznaczana w tym przypadku przez międzynarodowe standardy, którym należy się podporządkować. Dzięki wdrożeniu rozporządzenia i ciągłemu monitorowaniu procesów sieciowych, można zapobiegać przestojom, a także znacznie skracać czas awarii, co przekłada się na lepszą wydajność w praktyce większości procesów wewnątrz organizacji, a tym samym jej ogólne wyniki.