Biuletyn Informacji Publicznej ma umożliwiać swobodny, zagwarantowany konstytucyjnie dostęp do informacji, którymi dysponuje podmiot realizujący zadania publiczne. Warto zadbać o użyteczność i bezpieczeństwo tego narzędzia.

Bezpieczeństwo informacji to zbiór środków i procedur, które służą szeroko pojętej ochronie danych. W większości organizacji używa się od kilku do kilkunastu systemów teleinformatycznych, które służą realizacji określonych spraw. Jednym z nich jest Biuletyn Informacji Publicznej (dalej: BIP) – strona internetowa, do prowadzenia której zobowiązane są jednostki realizujące zadania publiczne. Podstawową rolą BIP-u jest gwarantowanie stałego dostępu do najważniejszych informacji dotyczących działalności danej jednostki, m.in. do danych finansowych. Jego funkcjonowanie zostało ściśle określone przepisami prawa, które w mniejszym lub większym stopniu realizują założenia normy ISO/IEC 27001 (dalej także: norma). Została ona opracowana przez Międzynarodową Organizację Normalizacyjną (ISO), która definiuje wymagania dotyczące zarządzania bezpieczeństwem informacji w organizacjach, a to z kolei przekłada się na bezpieczeństwo systemów teleinformatycznych, w których dane są przetwarzane. Za pomocą tego narzędzia organizacja może zapewnić sobie kompleksową ochronę informacji oraz jej rozliczalność. Najważniejszymi elementami normy jest:

• poufność,
• integralność,
• dostępność informacji,
• autentyczność,
• rozliczalność,
• niezaprzeczalność,
• niezawodność.

W przypadku systemu, jakim jest strona BIP, wszystkie te składniki mogą wpływać na jego bezpieczeństwo i poprawne funkcjonowanie.

Poufne, integralne i dostępne

Trzy podstawowe zasady bezpieczeństwa informacji to poufność, integralność i dostępność. Poufność odnosi się do sytuacji, w której dane nie są udostępniane lub ujawniane nieautoryzowanym osobom, podmiotom czy procesom. To kluczowa kwestia w kontekście ochrony prywatności i tajemnic handlowych. Realizacja tego założenia w przypadku BIP-ów została uregulowana w ustawie z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. DzU z 2022 r., poz. 902; dalej: udip). W art. 5 tej ustawy prawodawca określił najważniejsze ograniczenia w dostępie do informacji publicznej. Przede wszystkim nie udostępnia się informacji niejawnych oraz tajemnic ustawowo chronionych. Na ograniczenie dostępu do informacji wpływa prywatność osoby fizycznej lub tajemnica przedsiębiorcy. Dotyczy to także wybranych informacji związanych z przymusową restrukturyzacją. W przypadku rekapitalizacji niektórych instytucji lub zastosowania rządowych instrumentów stabilizacji finansowych udostępnienie informacji zależy od decyzji odpowiednich organów.

System do zarządzania stroną BIP musi mieć funkcje pozwalające zabezpieczyć ww. informacje, a także – w związku z ich udostępnianiem – skuteczny mechanizm ich usuwania. Warto jednak pamiętać, że danych nie można kasować, nie odnotowując w systemie takiego działania, czyli nie pozostawiając śladu po takiej operacji. Jeżeli dostęp do jakiejś informacji jest w BIP-ie ograniczony, to trzeba podać zakres wyłączenia, podstawę prawną tego działania, a także wskazać organ lub osobę, która odpowiada za wyłączenie. W przypadku ochrony tajemnicy przedsiębiorstwa dodatkowo wskazuje się nazwę tego podmiotu, jeżeli w jego interesie wyłączono jawność informacji publicznej.

Integralność to z kolei właściwość, która gwarantuje dokładność i spójność informacji. Zasada ta wiąże się z zapewnieniem, że dane nie zostaną zmodyfikowane w niekontrolowany sposób, tj. przez działania nieuprawnionej osoby lub błąd aplikacji. W kontekście BIP-ów integralność wyraża się w świadomym nadawaniu uprawnień do publikowania i usuwania danych ze strony. Nierzadko w dużych instytucjach niemal połowa pracowników ma uprawnienia do zamieszczania informacji w BIP-ie. Pracownik merytoryczny ma najlepszą wiedzę – co musi publikować, a czego nie. Brak przejrzystych funkcji do zarządzania uprawnieniami to spore ograniczenie i ryzyko niepoprawnego usunięcia danych na stronie, czyli zaprzestania udostępniania informacji publicznej, z czym wiążą się konsekwencje prawne.

Nie wszyscy redaktorzy muszą mieć dostęp do opcji usuwania. Dobrym rozwiązaniem jest funkcja przepływu pracy, która polega na moderowaniu treści przeznaczonych do publikacji na stronie BIP. Zaletą takiej organizacji pracy zespołów redakcyjnych jest większe bezpieczeństwo informacji. Wadą z kolei – wydłużony proces publikowania, co niesie za sobą ryzyko niezachowania terminów niektórych spraw. Wybór odpowiedniego modelu zarządzania informacjami w BIP-ie powinien być podyktowany indywidualnymi doświadczeniami i analizami w zakresie procedur bezpieczeństwa w danej instytucji.

Zawartość strony BIP musi być organizowana w postaci baz danych. Najłatwiej zatem zastosować system do zarządzania treścią (tzw. CMS). Wybór odpowiedniej aplikacji pozwoli uniknąć błędów, które skutkują ograniczeniem integralności. Szukając odpowiedniego rozwiązania, warto zwrócić uwagę na zakres wsparcia technicznego i czas rozwiązania problemów, który oferuje dostawca systemu. Jeżeli podmiot samodzielnie tworzy stronę BIP, to musi mieć wiedzę, środki finansowe oraz zasoby kadrowe pozwalające na utrzymanie serwisu zgodnie z przepisami prawa. Dobrze dobrane narzędzie do zarządzania stroną BIP może skutecznie chronić wyłączone z udostępniania informacje przed nieautoryzowanym dostępem i ujawnieniem, a także zapewnić zabezpieczanie przed nieświadomą modyfikacją pozostałych informacji.

Dostępność informacji odnosi się do tego, że dane i systemy informacyjne są użyteczne i gotowe do wykorzystania na żądanie uprawnionych użytkowników. Oznacza to, że systemy informacyjne powinny być niezawodne, a wszelkie przerwy w dostępie do informacji należy minimalizować.

Zgodnie z przepisami prawa informacje publiczne są dostępne na stronie BIP przez całą dobę, bez przerwy. W przypadku awarii Biuletyn może być niedostępny dla internautów nie dłużej niż przez 24 godziny. Wymaga to zapewniania bardzo wysokiego gwarantowanego poziomu świadczenia usługi utrzymania stron przez dostawców (tzw. SLA). Aby zapobiegać awariom, jednostki są zobowiązane do stosowania programowego i sprzętowego rozwiązania technicznego uniemożliwiającego zniszczenie lub modyfikację danych w wyniku działań hakerskich (mowa o działaniach spowalniających lub uniemożliwiających dostęp do zasobów). Raz na dobę tworzy się tzw. kopie przyrostowe na odrębnych nośnikach danych. Nie wszyscy usługodawcy spełniają te wyśrubowane wymagania.

Za poprawne działanie BIP-u odpowiedzialny jest podmiot zobowiązany do udostępniania informacji publicznej Dlatego tak ważny jest wybór odpowiedniego oprogramowania i wsparcia technicznego. Na rynku są dostępne darmowe rozwiązania do tworzenia i prowadzenia BIP-ów, a także szereg płatnych usług. W przypadku tych drugich warto stawiać jasne wymagania na etapie zamówienia publicznego, co pozwoli uniknąć problemów z funkcjonowaniem strony. Niezależnie od tego, jakie rozwiązanie zostanie wybrane, trzeba dokładnie zweryfikować, czy dostarczany system spełnia wszystkie kryteria.

Jako że zasada dostępności dotyczy każdego użytkownika, który odwiedza BIP, to strona i wszystkie znajdujące się na niej treści muszą być dostosowane do zasad dostępności stron internetowych dla osób z niepełnosprawnościami. Nie wynika to z omawianej normy, ale wdrożenie i utrzymywanie BIP-u ma przebiegać kompleksowo – oznacza to, że trzeba mieć szeroką wiedzę, ponieważ należy uwzględnić wiele aspektów unormowanych w różnych aktach prawnych. Czynności redaktorskie mają największy wpływ na dostępność. Z tego względu należy zadbać o odpowiedni CMS, by ułatwiać redaktorom tworzenie dostępnych treści. Warto ograniczyć funkcje edytora tekstu, które mogą negatywnie wpływać na dostępność opracowywanych treści. Niektórzy dostawcy implementują narzędzia do weryfikacji dostępności już na etapie tworzenia zasobu.

Dostępność można zapewnić poprzez regularne oceny ryzyka, planowanie ciągłości działania, wdrażanie mechanizmów redundancji, monitorowanie systemów teleinformatycznych, audyty oraz szkolenia pracowników.

Na drodze do autentycznego i niezawodnego BIP-u

Zgodnie z ISO/IEC 27001 autentyczność odnosi się do zapewnienia, że dane, komunikacja, transakcje oraz osoby są rzeczywiście tym, za co i za kogo się podają. Bez zapewnienia autentyczności organizacje narażają się na różne zagrożenia, np. oszustwa, podszywanie się, zakłócenie komunikacji, fałszywe transakcje.

W przypadku strony BIP autentyczność ma ogromne znaczenie. Nie ulega wątpliwości, że informacja publiczna musi być wiarygodna, a użytkownicy BIP-ów muszą mieć gwarancję, że dane są zgodne z prawdą. Co więcej, zasoby tych stron nierzadko są dowodami w różnych postępowaniach.

Zgodnie z udip każda informacja na stronie BIP musi być opatrzona danymi podmiotu, który ją udostępnia. Trzeba również wskazać tożsamość osoby, która wytworzyła dany zasób lub za niego odpowiada. Dodatkowo podaje się także imię i nazwisko redaktora, który zamieścił w BIP-ie daną informację. Funkcja możne działać automatycznie – wspomniane dane mogą być uzupełniane na podstawie konta zalogowanego użytkownika. Tym samym jednostki są zobowiązane do tworzenia indywidualnych kont dla użytkowników. Nie może dojść do sytuacji, w której kilka osób pracuje na jednym koncie redaktorskim. W takich okolicznościach informacja publiczna na stronie BIP traci autentyczność.

Dodatkowym wzmocnieniem wiarygodności strony BIP jest obowiązek poprawnego oznaczenia czasu wytworzenia danej informacji oraz czasu jej udostępnienia. Zabezpiecza się także możliwość identyfikacji rzeczywistego udostępniania informacji – mowa o funkcji antydatowania przy publikowaniu treści na stronie BIP.

Jeśli jednostka zadba o to, by wyposażyć serwis BIP w powyższe elementy, nie będzie musiała zamieszczać w nim podpisanych dokumentów.

Rozliczalność w kontekście ISO/IEC 27001 odnosi się do zdolności organizacji do wykazywania, że działania związane z bezpieczeństwem informacji są odpowiednio monitorowane, dokumentowane i zarządzane. Obejmuje to przypisanie konkretnym osobom odpowiedzialności za określone działania i procesy, a także śledzenie i raportowanie tych działań, aby można było zapewnić ich zgodność z politykami i procedurami bezpieczeństwa. W bezpieczeństwie teleinformatycznym rozliczalność realizowana jest za pomocą różnych form rejestrowania zdarzeń. Celem tych działań jest zabezpieczanie integralności, niezaprzeczalności oraz autentyczności informacji.

Strony BIP muszą być wyposażone w mechanizm dziennika zdarzeń, w którym odnotowywane są wszystkie zmiany w treści informacji publicznej oraz próby przeprowadzenia takich zmian przez osoby nieuprawnione. Taki dziennik prowadzony jest automatycznie, a zadaniem administratora strony BIP jest kontrolowanie go w każdy dzień powszedni. Jednostki prowadzące BIP powinny zweryfikować, czy taka funkcja jest dostępna w systemie CMS, który użytkują.

Niezaprzeczalność w kontekście bezpieczeństwa informacji polega na możliwości ustalenia, którzy użytkownicy w określonym czasie wykonali czynności na danych. Jest to zdolność do udowodnienia, że dane zdarzenia lub działania miały miejsce.

Na stronie BIP obowiązkowo umieszcza się historię zmian, aby każda osoba zainteresowana uzyskaniem informacji publicznej mogła w prosty sposób sprawdzić, jakim zmianom podlegał dany zasób. Ponadto trzeba zagwarantować możliwość weryfikacji zmian poprzez wersjonowanie treści w BIP-ie – CMS musi umożliwiać proste zarządzenie każdą z wersji danej informacji publicznej. Jest to szczególnie ważne, jeżeli z BIP-u trzeba jakąś treść usunąć. Dane chronione muszą być wyczyszczone z każdej wersji, tak aby osoby nieuprawnione nie miały do nich dostępu.

Niezawodność to cecha określająca czas bezawaryjnego działania systemów teleinformatycznych. Najczęściej podaje się ją w procentach – im wartość jest wyższa, tym lepszy stopień sprawnego działania danego systemu. Wyraża się ona w monitorowaniu działania systemu, a w razie wykrycia nieprawidłowości – szybkim reagowaniu.

W przypadku BIP-u niezawodność jest ściśle powiązana z dostępnością. Ustawodawca wskazał dopuszczalne czasy w przerwie działania strony BIP, co ma gwarantować bardzo wysoki poziom niezawodności. Spełnienie tego wymogu nie jest proste. Wystarczy wyobrazić sobie sytuację, że awaria następuje 24 grudnia. Niezależnie od tego, czy są dni świąteczne, czy też nie, podmiot odpowiedzialny za prowadzenie strony BIP musi ją reaktywować do 24 godzin. Jeżeli ktoś korzysta z zewnętrznych rozwiązań, powinien wymagać od dostawcy wsparcia w trybie 24/7. Wiąże się to ze znacznie wyższym kosztem utrzymania strony BIP w porównaniu ze zwykłą stroną promocyjną.

Warto postawić na kompleksowe działanie

Praca nad bezpieczeństwem informacji w systemie informatycznym wymaga kompleksowego podejścia – uwzględnienia wszystkich elementów odpowiednich norm. Nie można skuteczne zabezpieczyć tych zasobów, jeśli stosuje się tylko niektóre z tych rozwiązań, ponieważ są one ze sobą powiązane i wzajemnie się uzupełniają. Przykładem mogą być wspomniane zasady poufności, integralności oraz rozliczalności, które w przypadku BIP-u mogą być realizowane za pomocą odpowiedniego modułu do zarządzania uprawnieniami redaktorów. Administrator strony musi mieć możliwość precyzyjnego wskazania, w jakim zakresie dana osoba może publikować lub edytować informacje na stronie BIP. Indywidualne konta pozwalają na weryfikację oraz rozliczalność pracy, a także podnoszą świadomość odpowiedzialności wśród zespołów redakcyjnych. Jeśli system do zarządzania stroną BIP nie ma funkcji zakładania kont użytkowników, to jest to ogromna wada. Unikać należy także takich rozwiązań, które nie zapewniają pełnego wsparcia kluczowych wymagań związanych z bezpieczeństwem informacji.

Uzasadnieniem stosowania normy ISO/IEC 27001 w zakresie bezpieczeństwa informacji w systemach teleinformatycznych jest rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (DzU z 2024 r., poz. 773; dalej: KRI). Zobowiązuje ono do projektowania systemów teleinformatycznych zgodnie z zasadami funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności. Wszystkie te zasady powinny być elementami systemu do zarządzania i utrzymywania strony podmiotowej BIP.

Jednym z głównych założeń KRI jest osiągnięcie interoperacyjności na poziomie technologicznym, która oznacza zdolność różnych systemów, urządzeń, aplikacji lub organizacji do współdziałania, wymiany informacji i korzystania z niej w efektywny sposób. Obejmuje ona możliwość wymiany danych oraz ich prawidłowego interpretowania i wykorzystywania w ramach różnych systemów. W procesie tym trzeba uwzględniać szereg wymagań organizacyjnych i technicznych wpisanych w KRI oraz zapisy różnych norm, w tym także w zakresie bezpieczeństwa informacyjnego. To kluczowy aspekt, który pozwala na lepszą integrację i współpracę między różnymi podmiotami administracji publicznej, a także sektorem prywatnym i obywatelami.

Integracja z innymi systemami

Systemy teleinformatyczne wykorzystywane przez podmioty realizujące zadania publiczne muszą być wyposażone w mechanizmy umożliwiające wymianę danych z innymi systemami. Opisy protokołów oraz struktur wymiany danych mogą być realizowane za pomocą Web Services Description Language (dalej: WSDL).

Strona BIP w zakresie integracji może umożliwiać publikowanie danych za pomocą zewnętrznych systemów. Przykładowo rejestr danych, prowadzony w obrębie dziedzinowego narzędzia informatycznego, może być publikowany automatycznie. Zastosowanie takiej usługi sieciowej skraca czas potrzebny na ręczne udostępnienie zasobu.

Innym przykładem integracji BIP jest powiązanie go ze stroną promocyjną danego podmiotu. Nierzadko informacje w portalu internetowym są takie same, jak te na stronie podmiotowej BIP. Za pomocą WSDL mogą być publikowane tylko w jednym z systemów, a potem automatycznie powielane w drugim.

Należy pamiętać, że publikacja danych na stronie BIP za pomocą usług sieciowych musi spełniać wszystkie wymogi udip. Oznacza to, że zewnętrzny system musi przekazywać tożsamość osoby, która wytworzyła daną informację lub jest za nią odpowiedzialna, czas jej wytworzenia oraz poprawnie oznaczyć czas publikacji.

Usługą sieciową w systemie BIP może być także możliwość weryfikacji statusu sprawy. Klient, który ma swój numer, może poprzez stronę podmiotową BIP sprawdzić, na jakim etapie rozpatrzenia jest jego wniosek, zapytanie lub inne pismo, które skierował do podmiotu publicznego. Ustawodawca precyzuje w KRI, jakie działania należy podjąć, by zapewnić skuteczne zarządzanie bezpieczeństwem informacyjnym.

Odpowiedzialnie i profesjonalnie

Pomiot realizujący zadania publiczne powinien wdrożyć i aktualizować wewnętrzne regulacje związane z zarządzaniem informacją. Należy inwentaryzować sprzęt i oprogramowanie służące do przetwarzania informacji – spis powinien zawierać ich rodzaj oraz konfigurację. Ważna jest także regularna analiza ryzyka wdrożonych systemów teleinformatycznych.

Osoby zaangażowane w proces przetwarzania informacji muszą mieć stosowne uprawnienia – adekwatne do zadań i obowiązków. System musi zapewnić możliwość precyzyjnego przyznania praw dostępu do wybranych obszarów BIP-u. Poza wyborem dobrego modułu zarządzania użytkownikami trzeba wdrożyć procedury związanych z nadawaniem, modyfikacją i odbieraniem uprawnień. Administrator systemu musi mieć możliwość bezzwłocznej zmiany lub usunięcia dostępu danej osoby.

Nieodłącznym elementem zarządzania bezpieczeństwem informacyjnym są szkolenia osób zaangażowanych w ten proces. W przypadku strony BIP administratorzy i redaktorzy zobowiązani są dobrze znać narzędzie, którym się posługują. Muszą także wiedzieć, jakie są konsekwencje niespełnienia określonych prawem wymogów. Opanowanie systemu do zarządzania stroną zazwyczaj nie jest trudne – dostępne na rynku rozwiązania są projektowane z myślą o przejrzystości i przystępności dla użytkowników. Większym wyzwaniem jest zapewnienie dostępności cyfrowej osobom z niepełnosprawnościami i uczulenie użytkowników na to, by uwzględniali te kwestie w pracy nad stroną. Aby zapewnić dostępność cyfrową BIP-u, redaktorzy muszą opanować podstawowe reguły dotyczące tworzenia dostępnych treści.

Wszystkie te elementy przyczyniają się do lepszego świadczenia usług. Wybór odpowiedniego narzędzia do prowadzenia BIP-u nie jest łatwy. Przeglądając oferty dostawców strony BIP, należy skrupulatnie zweryfikować, czy spełniają one wszelkie – ustalone na bardzo wysokim poziomie – wymogi.

Wdrażanie zasad i elementów bezpieczeństwa informacji oraz bezpieczeństwa teleinformatycznego przez podmioty publiczne nie tylko chroni dane, ale także zwiększa zaufanie klientów i partnerów biznesowych. Odpowiedzialne i profesjonalne podejście do prowadzenia i utrzymania Biuletynu Informacji Publicznej jest wizytówką jednostki publicznej godnej zaufania.

---

Autor

Łukasz Świerzewski

Autor jest wieloletnim pracownikiem Urzędu Marszałkowskiego Województwa Małopolskiego, głównym specjalistą w zakresie systemów teleinformatycznych użytkowanych w administracji publicznej, współtwórcą obecnej wersji Regionalnego Systemu Biuletynów Informacji Publicznej w Małopolsce.