„Atmosfera to nieautoryzowane narzędzie" - zarzuca na naszym forum Czytelnik. - Jest opisywane w oficjalnej komunikacji i stronach - odpiera Marcin Malicki z COI.

„ATMOSFERA to nieautoryzowane narzędzie, do którego MSW się nie przyznało" - pisze na naszym forum Czytelnik. Jak dodaje, MSW „potwierdziło wręcz, że łamiemy prawo, przekazując na ATMOSFERĘ zrzuty ekranów z błędów systemowych. Okazuje się, że ATMOSFERĘ obsługują nieuprawnieni do wglądu do danych osobowych przedstawiciele COI. (...)  potwierdziła to Pani Dyrektor Programu pl.ID obecna na spotkaniu. Jest na to około 120 świadków".

Zapytaliśmy o tę kwestię dyrektora Marcina Malickiego z Pionu Rozwoju Produktów i Usług Centralnego Ośrodka Informatyki przy MSW.

- Ministerstwo nie mogło twierdzić, że jakikolwiek urzędnik łamie prawo, przekazując na ATMOSFERĘ zrzuty systemu - odpowiada Marcin Malicki. - Jaki przepis mieliby w ten sposób łamać? Co naruszać? Proszę podać jakikolwiek dowód takiego wskazania ze strony resortu - dodaje.

Według dyrektora nie można nazywać nieautoryzowanym narzędzia, które jest opisywane w oficjalnej komunikacji resortu z urzędnikami, na oficjalnych stronach projektu, w dziesiątkach wypowiedzi przedstawicieli resortu na spotkaniach, konferencjach prasowych itd.

Jak podkreśla Marcin Malicki, pracownicy Service Desk oraz pracownicy techniczni obsługujący SRP mają od MSW uprawnienia do przetwarzania danych osobowych w systemie. Sposób tego przetwarzania jest ściśle określony. 

- Komunikacja z Service Desk, w tym sposób korzystania z narzędzia zgłoszeń ITSM (Atmosfera), są opisane instrukcją - mówi Marcin Malicki. Jak dodaje, taka instrukcja została przekazana wszystkim Lokalnym Administratorom Systemu (LAS), jest także umieszczona na stronie projektu http://plid.obywatel.gov.pl/materialy-dla-las-ow-urzednik i platformie szkoleniowej.

Dyrektor przypomina, że zasady komunikacji z Service Desk, opisujące też narzędzie zgłoszeń, były przekazywane gminom wielokrotnie.

- Wiedza gmin w zakresie sposobu zgłaszania zapytań do Service Desk czy posiadania konta na Atmosferze była dodatkowo weryfikowana z każdą gminą, przed uruchomieniem systemu, gdy dzwoniliśmy do wszystkich gmin w Polsce - zaznacza Marcin Malicki.

Jak podkreśla, system jest chroniony przed dostępem z zewnątrz. Dostęp do niego mają tylko uprawnieni Lokalni Administratorzy Systemu (LAS). Autoryzacja następuje za pomocą indywidualnego loginu i hasła, czynności w systemie są logowane (zapisywane), protokół transmisji w czasie sesji w systemie jest szyfrowany za pomocą protokołu SSL.

- COI ma wdrożoną i stosuje odpowiednią politykę bezpieczeństwa w zarządzaniu danymi i systemami, sam System Rejestrów Państwowych ma też wdrożoną politykę bezpieczeństwa, której przestrzegamy - wyjaśnia Marcin Malicki. - Przypominam, że wszystkie systemy powiązane z SRP były audytowane przez ABW i audytora zewnętrznego. Audyt przebiegł pomyślnie - dodaje.

Zapytaliśmy też o rodzaje danych, znajdujących się w systemie - są tam tylko podstawowe dane LAS-a i pracowników Service Desk - imię, nazwisko, login.

- W zrzucie z ekranu bądź w opisie problemu mogą się znaleźć podstawowe dane obywatela (np. PESEL), ale nie może być inaczej, bo musimy mieć możliwość odtworzenia problemu. Pracownicy, którzy obsługują zgłoszenia mają uprawnienia od MSW do przetwarzania tych danych w odpowiednim zakresie - tłumaczy dyrektor.

COI, tak jak każdy profesjonalny podmiot utrzymaniowy, potrzebuje do utrzymywania systemów oraz zgłoszeń użytkowników narzędzia typu IT Management System. Stosowanie takiego systemu jest uregulowane m.in. w profesjonalnym zbiorze dobrych praktyk ITIL.

Centralny Ośrodek Informatyki wdrożył takie rozwiązanie ITSM, wyłaniając dostawcę systemu w drodze zamówienia publicznego. Wyłoniony dostawca wdrożył system Atmosfera - jeden z najbardziej rozpowszechnionych systemów tej klasy w kraju.

COI świadczy na rzecz MSW usługi związane z utrzymaniem  i obsługą Service Desk. Zakres tych usług jest precyzyjnie opisany. Do świadczenia tych usług COI musi stosować system klasy ITSM. Dostęp do tego systemu ma również MSW, tak jak wgląd do zgłoszeń.

Zapraszamy do kontaktu k.kubicka_zach@pap.pl.

Kkż/
Serwis Samorządowy PAP