Atestace informačních Atestace informačních systémů veřejné systémů veřejné
správysprávy
Vladimír Matějíček
5.12.2007
Dlouhodobé řízení ISVS
informační koncepce
provozní dokumentace (bezpečnostní politika)
Způsobilost k realizaci vazeb ISVS s jiným IS realizuje se skrze referenční rozhraní (MV ČR)
Zákon č. 365/2000 o ISVS novelizován zákonem č. 81/2006 Sb.
Prováděcí předpisy vyhláška č. 53/2007 o referenčním rozhraní
vyhláška č. 528/2006 o informačním systému o ISVS
vyhláška č. 529/2006 o dlouhodobém řízení ISVS
vyhláška č. 530/2006 o postupech atestačních středisek
Co se atestuje a jak?
Předmět atestace
Zákonná úprava
Dlouhodobé řízení ISVS
informační koncepce – upravuje dlouhodobé cíle a obecné
principy při všech činnostech se všemi ISVS
provozní dokumentace – vychází z informační politiky
dokumenty je nutné zpracovat do konce r. 2008
dokumenty je nutné atestovat do konce r. 2009
Způsobilost k realizaci vazeb ISVS s jiným IS způsobilost k realizaci vazeb jednotlivých ISVS
Co se atestuje a jak?
Proč atestovat?
Informační koncepce – co má obsahovat?
charakteristiky jednotlivých ISVS
výhled do budoucna (záměr na pořízení nových ISVS)
dlouhodobé cíle v oblasti řízení kvality (a jak jich dosáhnout)
dlouhodobé cíle v oblasti řízení bezpečnosti (a jak jich
dosáhnout)
postupy při vyhodnocování dodržování IK
postupy při provádění změn IK
zásady pro správu IS a postupy pro jejich naplnění
financování IS
funkční zařazení osoby zodpovědné za (naplňování) IK
Příklady informačních koncepcí IK ústředního orgánu veřejné správy
IK obce s rozšířenou působností
IK obce s pověřeným obecním úřadem
IK obce s výkonem přenesené působnosti v základním rozsahu
http://www.micr.cz/scripts/detail.php?id=3768
Zákonná povinnost ve světě
DŘ ISVS
Provozní dokumentace
bezpečnostní dokumentace IS (může být zpracována pro více ISVS)
systémové příručky
uživatelské příručky
Bezpečnostní dokumentace Bezpečnostní politika IS
Bezpečnostní směrnice pro činnost bezpečnostního správce
atestuje se pouze Bezpečnostní politika
Zákonná povinnost ve světě
DŘ ISVS
Postup při atestaci
atestačnímu středisku předáte dokumentaci
atestační středisko posoudí vlastnosti předložené dokumentace
v případě zjištění nedostatků je možné je odstranit
zjištěné údaje jsou zaznamenány do protokolu o atestaci
v případě splnění všech požadavků je vydán atest
atest se vystavuje na max. 5 let
Co se posuzuje úplnost dokumentů
srozumitelnost, přehlednost, logická konzistence
kvalita řešení
postupy při vyhodnocování IK
postupy při přijímání opatření k odstranění nedostatků
zjištěných při vyhodnocování
Zákonná povinnost ve světě
DŘ ISVS
Co je referenční rozhraní
ze zákona: sdílené a bezpečné rozhraní ISVS jako souhrn
právních, technických, organizačních a jiných opatření
vytvářejících jednotné integrační prostředí ISVS
pro lidi: rozhraní přes které komunikují 2 různé informační
systémy a všechny příslušející náležitosti
stanoví a spravuje jej MV ČR
OVS jsou povinny zajistit, aby vazby jimi provozovaných IS
na jiné IS byly uskutečňovány prostřednictvím RR
Zákonná povinnost ve světě
DŘ RR
Co je vazba
Povinné uvedení v IS o ISVS:
vazba je uskutečnitelná pouze pokud je ISVS uveden v IS o
ISVS, kde jsou uvedeny údaje o jeho dostupnosti a obsahu
Povinné používání vyhlášených datových prvků:
vazba je uskutečnitelná pouze s použitím datových prvků
vyhlášených prostřednictvím IS o DP (informační systém o
datových prvcích)
Povinné vytváření záznamů:
vazba je uskutečnitelná pouze pokud jsou o událostech
spojených s realizací vazby vytvářeny záznamy a tyto záznamy
jsou uchovávány
Zákonná povinnost ve světě
DŘ RR
Údaje pro IS o ISVS
Technická dokumentace služby
- URL dokumentace služby
- URL bezpečnostní politiky služby
- URL popisu služby
Identifikace datových prvků
- datové prvky jsou IS o ISVS automatizovaně vybrány z popisu
služby
- seznam je možné ručně doplnit o prvky z IS o ISVS
(návaznost na ISDP)
Provoz referenčního rozhraní V případě změn aktualizovat údaje v IS o ISVS.
Sledovat vyhlášené datové prvky a udržovat datové prvky použité při realizaci v souladu s obsahem ISDP.
Dokumentovat a uchovávat logy (události spojené s
realizací vazby).
Zajistit atestaci RR nejpozději do konce r. 2008.
Zákonná povinnost ve světě
DŘ RR
Atestace
Stanovení shody způsobilosti k realizaci vazeb ISVS s
jinými ISVS prostřednictvím referenčního rozhraní s
požadavky zákona č. 365/2000 Sb. a prováděcích
předpisů
Atest je vydáván pro každý ISVS zvlášť.
Postup: Žadatel: předá údaje do ISVS a uzavře smlouvu s vybraným
atestačním střediskem.
Atestační středisko (AS): provede praktické posouzení vazby
ISVS.
Žadatel: odstraní nedostatky v rámci posuzování vazby (pokud
byly nějaké zjištěny).
Atestační středisko (AS): vydá protokol o provedené
zkoušce a (ne)vydá příslušný atest.
Zákonná povinnost ve světě
DŘ RR
Jak se shoda posuzuje?
Informace
- AS čerpá informace o vazbě z IS o ISVS a o datových prvcích
z ISDP
Praktická zkouška:
- AS požádá o službu ISVS (při některých nebo všech možných
postupech)
- AS obdrží službu / chybové hlášení apod.
- AS porovná výsledek s dokumentací v IS o ISVS
Odpovědi ISVS na žádost o službu nebo informaci, včetně
chybových hlášení (pokud k nim dojde) s dokumentací služby.
Realizace vazby s dokumentací služby.
Zajištění bezpečnosti služby a rozsahu přístupových oprávnění
(i jejich omezení) pro jednotlivé uživatele s bezpečnostní
politikou sužby.
Soulad datových prvků s datovými prvky vyhlášenými v ISDP.
Zákonná povinnost ve světě
DŘ RR
ISVS je uveden v právních předpisech
- zákon přímo upravuje vedení IS, jako ISVS jej označuje a
přímo odkazuje na zákon č. 365/2000
- zákon upravuje vedení konkrétního registru = evidence,
rejstřík apod., označuje jej jako ISVS (ale v názvu není
exaktně uvedeno „informační systém“ nebo „systém“) a
odkazuje na zákon č. 365/2000
- zákon upravuje vedení konkrétního registru nebo IS,
označuje jej jako ISVS, ale neodkazuje na zákon č. 365/2000
- zákon upravuje vedení ISVS, ale jako ISVS jej výslovně
neoznačuje
ISVS bez úpravy v právních předpisech
- vedení ISVS nemusí být výslovně upraveno zvláštním
právním předpisem (např. evidence držitelů psů)
Zákonná povinnost ve světě
Jak určit ISVS?
Co není kritériem pro určení ISVS? Dostupnost
- není podstatné, zda se jedná o veřejný nebo neveřejný
ISVS
Outsourcing
- není podstatné, zda systém provozuje přímo úřad nebo jiným subjektem
Co není ISVS? Provozní ISVS
Provozní SW (operační systém, webový prohlížeč, e-
mailový klient, textový nebo tabulkový editor)
Webové stránky
SW pro elektronickou podatelnu, spisovou službu
Zákonná povinnost ve světě
Jak určit ISVS?
Jak určit ISVS?
Ohrozí nefunkčnost IS povinnosti plynoucí z kompetencí daného
OVS?
Jsou v IS uloženy údaje o vykonávané správné činnosti (nebo
údaje pro podporu této činnosti)?
§3 zákona č. 365/2000 Sb. určuje na které ISVS se tento zákon
vztahuje
Typické ISVS u obcí
Evidence pokut
Evidence poplatků
Evidence obyvatel
Evidence držitelů psů
Elektronická podatelna
Elektronická spisová služba
Zákonná povinnost ve světě
Jak určit ISVS?
Provozní IS
Provozní ISVS zajišťují informační činnost nutné pro
vnitřní provoz příslušného orgánu, například účetnictví
nebo správu majetku, a nesouvisejí přímo s výkonem
veřejné správy.
Příklady:
- účetní programy
- IS pro správu majetku
- evidence docházky zaměstnanců
- evidence došlých faktur
- další
Při zpracovávání IK je, z hlediska praxe, snazší zahrnout do
IK všechny IS (včetně provozních).
Zákonná povinnost ve světě
Jak určit ISVS?
Atestační středisko EQUICA
Rubeška 216
180 00, Praha 8 – Vysočany
www.equica.cz/atestacni-stredisko
Vladimír Matějíček
+420 724 101 555
http://www.equica.cz/atestacni-stredisko
Prezentace bude uvedena na:
http://www.slideshare.net/equica