DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Transkript

1 Městská část Praha Zbraslav Zbraslavské náměstí Praha Zbraslav tel/fax: e- mail: http: DŮVODOVÁ ZPRÁVA Jednání Zastupitelstva městské části Praha Zbraslav číslo: 20 Dne: Zpracovatel: OKT Název: Aktualizace dokumentů "Informační koncepce - Dlouhodobé řízení ISVS" a "Politika bezpečnosti informací" Přílohy: 1 01/00/ Informační koncepce - Politika dlouhodobého řízení IS - v /01/ Příloha č. 1 IK - Katalog informačních systémů - v /02/ Příloha č. 2 IK - Infrastruktura informačních systémů - v /03/ Příloha č. 3 IK Formulář Hodnocení dodržování Informační koncepce - v2.0 02/00/ Politika bezpečnosti informací - řízení bezpečnosti informačního systému veřejné správy -v /01/ Příloha č. 1 PBI - Základní pojmy bezpečnosti informací -v2.0 7 Usnesení ZMČ Z ze dne Usnesení RMČ Rada Městské části Praha - Zbraslav doporučuje Zastupitelstvu městské části Praha - Zbraslav na základě usnesení číslo R ze dne schválit předložené dokumenty "Informační koncepce - Dlouhodobé řízení ISVS" a "Politika bezpečnosti informací", které byly aktualizovány v souladu s povinnostmi vyplývajícími ze zákona 365/2000 Sb., o Informačních systémech veřejné správy Předmětem návrhu jsou aktualizace a změny dokumentů provedené v souladu s povinnostmi ISVS. Výstupem této revize a aktualizace jsou předložené dokumenty ISVS verze 2.0. Orgány veřejné správy jsou v rámci ISVS povinny zajistit, aby poskytované vazby jimi provozovaného ISVS na IS jiného provozovatele byly uskutečňovány prostřednictvím referenčního rozhraní s využitím datových prvků vyhlášených MVČR a vedených v informačním systému o datových prvcích. Tuto způsobilost jsou povinny prokázat atestem referenčního rozhraní ISVS. Orgány veřejné správy prokáží splnění výše uvedených povinností atestem dlouhodobého řízení ISVS. Dokumenty Informační koncepce - Dlouhodobé řízení Informačních systémů veřejné správy (ISVS) a Politika bezpečnosti informací, schválené usnesením č. Z ze dne , jsou dokumenty, na jejichž základě byl vydán Atest s platností do Atest registrační číslo byl vydán společností EQUICA a.s., IČ Datum vydání atestu: Datum provedení další zkoušky: ( V květnu 2018 bude požádáno o reatestaci ISVS. IČ: Bankovní spojení: /0800 DIČ: CZ IDDS: zcmap6w

2 Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů (dále jen zákon o ISVS ) stanoví povinnosti orgánům veřejné správy související s vytvářením, užíváním, provozem a rozvojem informačních systémů veřejné správy (dále jen ISVS ). Se správou ISVS jsou spojeny některé významné povinnosti související s ochranou zpracovávaných informací, zejména osobních údajů. Vzhledem k zákonem uloženým povinnostem, které se vztahují na každý ISVS, resp. jeho správu, jsou orgány veřejné správy povinny identifikovat informační systémy, které jsou ISVS, a u kterých vykonávají úlohu správce ve smyslu zákona o ISVS. V informační koncepci má být uvedena charakteristika každého ISVS, který orgán veřejné správy spravuje; ke každému ISVS musí vést orgán veřejné správy provozní dokumentaci. Orgán veřejné správy má dále povinnost předávat údaje o spravovaných ISVS do informačního systému o informačních systémech veřejné správy (dále jen ISoISVS ), jehož správcem je Ministerstvo vnitra. Zpracování informační koncepce a předání údajů do ISoISVS jsou nezbytnými podmínkami pro provedení atestací, v prvním případě pro provedení atestace dlouhodobého řízení ISVS a ve druhém případě pro provedení atestace způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní. Za změnu IS je považována instalace nové verze aplikací (změna postupů zpracování informací), změna prostředků (například servery nebo datové uložiště), změna konfigurace služeb (například síťové služby, topologie nebo propojení IS) a ukončení provozování IS. Na základě změny poskytovatele ICT došlo ke změně Správce informačních systémů (zaměstnanec společnosti Axis). Bezpečnostním správcem je paní Marta Spáčilová, referentka OKT. V souladu s ISVS byla realizována aktualizace, kterou na základě objednávky zpracoval autor dokumentu z roku 2013, Ing. Jan Rada, ve spolupráci s tajemnicí úřadu, bezpečnostním správcem a správcem informačních systémů. V roce 2016 bylo tajemnicí úřadu provedeno Hodnocení dodržování Informační koncepce za účelem zjištění aktuálnosti a plnění cílů. Další průběžné Hodnocení dodržování Informační koncepce za účelem zjištění aktuálnosti a plnění cílů probíhá i v roce Toto hodnocení je průběžně konzultováno s Ing. Radou. V souladu s povinnostmi MČ Praha-Zbraslav ve vztahu k ISVS probíhá kontrola, aktualizace a průběžné zpracovávání všech hodnotících dokumentů ISVS. Současná aktualizace dokumentů dlouhodobého řízení ISVS a ochrany zpracovávaných informací byla realizována v širším kontextu s ohledem na blížící se platnost Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR). GDPR nově upravuje způsob zpracování osobních údajů fyzických osob. Do stávajících systémů ochrany osobních dat zavádí řadu nových povinností a zásadním způsobem zpřísňuje pravidla jejich správy. Účinnost GDPR je od 25. května Nové dokumenty podporují aktivity, které stávající ochranu osobních údajů upravují tak, aby naplňovala požadavky GDPR a jsou podkladem pro zpracování dokumentů GDPR.

3 INFORMAČNÍ KONCEPCE Politika dlouhodobého řízení informačních systémů Strukturu a obsah informační koncepce a provozní dokumentace stanoví vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy). Za plnění zákonných povinností ve vztahu k ISVS, zejména povinností vyplývajících ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ze zákona č. 101/2000 Sb., o ochraně osobních údajů, ze zákona č. 106/1999 Sb., o svobodném přístupu k informacím a z vyhlášky č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup, z vyhlášky č. 64/2008 Sb., o formě uveřejňování informací souvisejících s výkonem veřejné správy prostřednictvím webových stránek pro osoby se zdravotním postižením, odpovídá starostka MČ Praha - Zbraslav. POLITIKA BEZPEČNOSTI INFORMACÍ Řízení bezpečnosti informačního systému veřejné správy Účelem této Politiky je naplnit požadavky zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a dalších právních předpisů (například zákona č. 101/2000 Sb., o ochraně osobních údajů), které stanovují povinnosti při ochraně informací v průběhu jejich pořizování, zpracování a poskytování. Cílem této Politiky je deklarovat zájem zastupitelstva, rady, starostky MČ Praha-Zbraslav a tajemnice Úřadu MČ Praha-Zbraslav (dále i Vedení městské části ) na ochraně informací zpracovávaných informačními systémy a prostředky pro zpracování informací, definovat řídící strukturu a stanovit odpovědnosti a základní principy a směry řízení bezpečnosti informací. Tato Politika se vztahuje a je závazná pro všechny, kdo přichází do styku s informacemi a prostředky pro jejich zpracování MČ Praha-Zbraslav, zejména s informacemi charakteru osobních údajů, ve všech fázích jejich zpracování. Politika musí být uplatňována v přiměřeném rozsahu i ve vztahu k třetím stranám. Zastupitelstvo, rada, starostka MČ Praha-Zbraslav a tajemnice si uvědomují důležitost ochrany (bezpečnosti) informací zpracovávaných Úřadem MČ Praha-Zbraslav a vnímají ji jako součást plnění požadavků právních předpisů, a proto tímto veřejně deklarují svůj zájem na ochraně informací, zejména na ochraně osobních údajů, vlastních informací a informací třetích stran, zpracovávaných MČ. Za bezpečnost informací, tj. za zajištění dostupnosti, důvěrnosti, integrity informací a dohledatelnosti aktivit, za dodržování platných právních předpisů v oblasti bezpečnosti informací, a za řízení a koordinaci bezpečnosti informací odpovídá tajemnice. Povinnosti spojené s ochranou informací a dalších aktiv MČ vykonává zaměstnanec ÚMČ, který je starostkou MČ Praha-Zbraslav jmenován do role Bezpečnostní správce systému podle vyhlášky č. 529/2006 Sb., vyhláška o dlouhodobém řízení informačních systémů veřejné správy.

4 Tajemnice vytváří předpoklady a poskytuje zdroje pro řízení bezpečnosti informací, pro realizaci a provozování opatření ke zvládání rizik a pro pravidelné školení Bezpečnostního správce systému a ostatních zaměstnanců ÚMČ v oblasti bezpečnosti informací. Vedoucí zaměstnanci odpovídají za zavedení a dodržování opatření ke zvládání rizik (opatření k ochraně informací) ve své působnosti. Vytváří podmínky pro dodržování nastavených pravidel ochrany informací svými podřízenými. Tato Politika podléhá pravidelnému přezkoumávání, které zajišťuje tajemnice minimálně 1x ročně nebo v případě změny rozsahu a způsobu zpracování informací, změně prostředků nebo prostředí, ve kterém je ISVS provozován. O revizi a jejich výsledcích jsou prováděny záznamy. Aktualizaci ostatních dokumentů provádí vždy Garant (vlastník) dokumentu. Analýza rizik, hodnocení rizik a navržená opatření ke zvládání rizik také podléhají pravidelným revizím, a to zejména v případě změny rozsahu a způsobu zpracování informací, změně prostředků nebo prostředí, ve kterém je ISVS provozován, na základě identifikace nových hrozeb nebo na základě informací o bezpečnostních incidentech. Minimálně však jednou za rok. V případě, že uživatel prostředků pro zpracování informací, Správce systému nebo vedoucí zaměstnanec ÚMČ zjistí nedostatek v kvalitě zpracování informací nebo nedostatek v ochraně informací, informuje o tom Bezpečnostního správce systému, který podnět zaznamená a přijme nezbytná opatření. Vedení městské části si je vědomo skutečnosti, že MČ Praha-Zbraslav je správcem informačních systémů veřejné správy podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a také správcem osobních údajů podle zákona č. 101/2000 Sb., o ochraně osobních údajů, že je povinno poskytovat informace podle zákona 106/1999 Sb., o svobodném přístupu k informacím, a že je povinno plnit povinnosti v oblasti ochrany informací, vyplývající z těchto a dalších právních předpisů. Vedení MČ vyhlašuje následující cíle bezpečnosti informací: 1. dosáhnout vysoké spolehlivosti zpracování informací zajištěním jejich dostupnosti, důvěrnosti a integrity, 2. zavést řízení bezpečnosti informací jako integrální součást řídících procesů, 3. striktně dodržovat požadavky právních předpisů na zpracovávání informací, 4. chránit informace a jiná aktiva nezanedbatelné hodnoty, 5. zajistit vysokou kvalitu informací, 6. neustále zvyšovat povědomí a znalosti zaměstnanců ÚMČ o ochraně informací, 7. zamezit vzniku bezpečnostních incidentů a minimalizovat škody způsobené bezpečnostními incidenty, 8. zajistit kontinuitu informační podpory činnosti ÚMČ. Vedení městské části se zavazuje: 1. vytvářet vhodné podmínky umožňující zaměstnancům zajišťovat ochranu informací, 2. zajistit odborný růst zaměstnanců, aby byli schopni plnit požadavky na ochranu informací, 3. poskytovat zdroje pro návrh, realizaci a zlepšování opatření, zajišťujících stanovenou míru ochrany informací, 4. zahrnout ochranu informací do svých řídících procesů.

5 Tajemnice ÚMČ Praha-Zbraslav od zaměstnanců vyžaduje: 1. aktivní přístup při návrhu, zavádění, dodržování a zlepšování opatření k zajištění bezpečnosti informací, 2. důsledné naplňování cílů a dodržování zavedených opatření bezpečnosti informací, 3. důsledné dodržování platných právních předpisů a souvisejících vnitřních předpisů, 4. rozšiřování a zvyšování svých znalostí a povědomí v oblasti ochrany informací. Obecná opatření k zajištění bezpečnosti informací, která se týkají všech zaměstnanců MČ Praha-Zbraslav a zastupitelů MČ Praha-Zbraslav Uživatelé jsou povinni: 1. používat informace a přidělené prostředky pro zpracování informací pouze ke stanovenému účelu (zejména osobní údaje podle zákona č. 101/2000 Sb., o ochraně osobních údajů a Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, dále také GDPR.), 2. zpracovávat kvalitní informace (zejména přesné osobní údaje a ve stanoveném rozsahu podle zákona č. 101/2000 Sb., o ochraně osobních údajů a GDPR), 3. zajistit, že jimi zpracovávané informace budou poskytovány (sdělovány nebo jinak zpřístupňovány) pouze oprávněným osobám a ve stanoveném (povoleném) rozsahu, 4. přistupovat k prostředkům pro zpracování informací pouze pod svým účtem, tj. jménem a heslem, které: a) musí být vytvořeno v souladu s nastavenými pravidly pro tvorbu hesel, b) nesmí být komukoli sdělováno nebo jinak zpřístupněno, 5. při opuštění pracoviště (i krátkodobém) učinit veškerá opatření, aby nemohlo dojít k narušení bezpečnosti informací (zásada prázdného stolu, odhlásit se nebo uzamknout pracovní stanici, zamknout kancelář atd.) Všem uživatelům je zakázáno: 1. používat informace a prostředky pro zpracování informací k soukromým účelům nebo v rozporu s vlastníkem (garantem) aktiva nastavenými pravidly 2. používat prostředky pro zpracování informací v rozporu s podmínkami daných jejich výrobcem (dodavatelem), 3. instalovat jakýkoli software (neplatí pro uživatele, kteří jsou k tomu určeni) s výjimkou automatických aktualizací již instalovaného softwaru, 4. vyřazovat z činnosti prostředky pro ochranu před škodlivými programy (antivir, firewall apod.), 5. svévolně přemisťovat prostředky pro zpracování informací, 6. používat bez povolení soukromé prostředky (notebooky, PC, tablety, mobilní telefony apod.) pro zpracování a ukládání informací. Přijetí tohoto usnesení nemá dopad do rozpočtu městské části Praha-Zbraslav. Bc. Filip Gaspar Zástupce starostky