Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Transkript

1 Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

2 Současný stav projektů v ICT Procesy dohled řízení Legislativa národní i EU - splnění všech povinností Investice optimalizace zdrojů Bezpečnost systém řízení bezpečnosti Budoucnost úřad online

3 Legislativa ES Nařízení (Regulation) přímo závazné, Směrnice (Directive) k jejich závaznosti je třeba, aby směrnice byla transponována do českého právního řádu. Rozhodnutí (Direction) - rozhodnutí ES pro konkrétní případ. Je závazné jen pro konkrétní subjekty, kterých se týká.

4 Legislativa a SF Nařízení Rady (ES) 1260/1999 principy využívání prostředků ze SF splnění požadavků EU i ČR legislativy hrozba vrácení prostředků Nařízení Komise (EC) 438/2001 systém řízení a kontroly pro SF opakované pravidelné kontroly význam auditu a konzultační pomoci Odborné předpisy: Např.: Směrnice 95/46/EC, 97/66/EC, 2002/58/ES, Nařízení 45/2001

5 Legislativa CZ Platné a účinné právní předpisy zákon 365/2000 Sb., zákon 101/2000 Sb., zákon 480/2004 Sb., zákon 106/1999 Sb., zákon 123/1998 Sb., zákon 227/2000 Sb., vyhláška MI č. 496/2004 o el. podatelnách nařízení vlády č. 495/2004 o provozu el. podatelen

6 shora zdola neřeším/odkládám Přístupy k plnění Optimální řešení řešeno shora (kontrolní činnost) metodický dohled projektu Přetvořit povinnost na výhodu!

7 Vztahy v metodickém dohledu Metodický dohled projektu je realizován ve třech vzájemně se prolínajících oblastech: vztah dodavatele x odběratele dokumentace procesů a jejich výstupů zvolené/relevantní legislativa a normy

8 Problémy, nastávající při zavádění či změnách informačních systémů Profesionální slepota pracovníků jsou ovlivněni řešenou problematikou Řízený přístup mnohdy jsou řešeny následky a ne příčiny Hledání kompromisu mezi technologickou odborností a nezávislostí odborníka

9 Uplatnění metodického dohledu V oblasti životního cyklu informačního systému Kontrola úplnosti množiny procesů Kontrola výstupů těchto procesů V oblasti mapování vnitřních procesů zákazníka Dohled na jejich konzistenci a návaznosti Ověřování dokumentace procesů a jejich výstupů V oblasti požadavků na informační systém Dohled na jejich existenci a úplnost v návaznosti předcházející odrážku Dohled na úplnost analýz a jejich návazností

10 Výstup metodického dohledu Výstupem metodického dohledu projektu je podrobná a přesná dokumentace, která je ve shodě s relevantními požadavky legislativy, příslušných norem a metodik Příprava dokumentace projektu na následnou eventuální certifikaci

11 Výhody získané při využití služeb metodického dohledu projektu Zefektivnění ochrany investic (včetně ochrany před vícenáklady) Dohled nad dodržováním náplně součinnosti odběratele a dodavatele Získání kompletní dokumentace projektu v rozsahu daném legislativou, normami a metodikami Činnost arbitra a kontinuální poradenská činnost Závěrečný certifikát o shodě

12 Jak vybrat firmu pro metodického dohledu projektu Nezávislost firmy i všech jejich zaměstnanců Dlouhodobé působení v ČR Znalost odpovídající legislativy Znalost standardů, norem a direktiv ČR i EU Zkušenosti s prováděním auditů a certifikací Odborné zázemí Garance výsledků a převzetí odpovědnosti za případné nedostatky

13 Doporučené přístupy k metodickému dohledu Legislativní rámec Životní cyklus IS Komerční sektor ČSN ISO IEC Veřejná správa Standard 005/02.01 Bezpečnost ČSN ISO IEC Ostatní projekty - Specializované normy - Zadávací dokumentace

14 Výsledná evaluace certifikace shody - s konkrétními normami - interní legislativa - se speciálními kritérii audit po ukončení projektu - audit z pohledu řešitele projektu - interní audit - externí nezávislý audit

15 Výsledná evaluace - BEZPEČNOST certifikace shody s přístup dle ČSN normy -přístup dle normy BS7799-2:2000 certifikace shody s ostatními normami (výběr z 58 norem) audit po ukončení projektu -prověření dokumentace - audit procesů - inspekce systémů na místě - penetrační testy

16 Výsledná evaluace AUDIT BEZPEČNOSTI #1 Audit systému řízení bezpečnosti IT Audit dokumentace systému řízení bezpečnosti IT Audit organizačních bezpečnostních opatření Audit opatření z oblasti personální bezpečnosti Audit opatření z oblasti fyzické a objektové bezpečnosti Audit systému zvyšování povědomí o bezpečnosti Audit havarijního plánování a postupů obnovy provozu

17 Výsledná evaluace AUDIT BEZPEČNOSTI #2 Audit technických bezpečnostních opatření Audit topologie připojení k Internetu a WAN sítí Audit prvků vnitřních sítí (LAN) Audit konfigurace systémů a aplikací Audit odolnosti proti neoprávněnému přístupu (penetrační test)

18 Relsie, spol. s r.o. #1 Atestační středisko pro ISVS Pověřeno ÚVIS (MI ČR) Atestace a konzultace Jakost a standardy Bezpečnostní audity a certifikace Od roku 1991

19 Relsie, spol. s r.o. #2 Atestační středisko RELSIE Nezávislá atestační autorita Renomovaná autorita v oblasti bezpečnosti Více než 200 atestačních řízení Konzultační partner Pomoc při čerpání fondů z EU

20 Relsie, spol. s r.o. #3 Bezpečnost! Akreditace pro oblast bezpečnosti Externí bezpečnostní audit Certifikace bezpečnostních produktů a řešení

21 Ing.Jan Heisler jednatel společnosti tel tel Děkuji za pozornost.