STAV PŘÍPRAV. prof. Ing. Jiří Voříšek, CSc. Seminář CACIO,

Podobné dokumenty
NEJEN STÁTNÍ CLOUD - egovernment Cloudu

Stav příprav egovernment Cloudu v ČR

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Projekt egovernment Cloudu

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

egovernment Cloud ČR egovernment Cloud egc Miroslav Tůma Ministerstvo vnitra ČR

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

egovernment Cloud, jak to může vypadat Miroslav Tůma Ministerstvo vnitra ČR

Souhrnná analytická zpráva

egovernment cloud v ČR otázky a varianty jejich řešení odvozené ze zahraničních zkušeností

Strategický rámec budování egovernment cloudu

Strategický rámec Národního cloud computingu egovernment cloud ČR

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

G-cloud v ČR varianty a podmínky řešení odvozené ze zahraničních zkušeností

Kybernetická bezpečnost

Katalog aktuálně provozovaných IS. Příloha č. 2 Souhrnné analytické zprávy

egovernment Cloud České republiky motivy a cesty řešení

Sdílené ICT služby a G-cloud v české veřejné správě

Vize a role ČP OZ ICTs

Centrální místo služeb (CMS) Bezpečná komunikace mezi úřady

Kybernetická bezpečnost resortu MV

Sdílené ICT služby a G-cloud v české veřejné správě

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Problematika horizontální spolupráce mezi OVM. Praha, 11/12/2015

Strategie a Perspektivy ČP OZ ICT Služby 2015

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

PŘÍKLADY (Z)REALIZOVANÝCH PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI PODPOŘENÝCH Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU

PROSAZOVÁNÍ 3E V ROZVOJI egovernmentu

Cloud Computingu ČR Centrální nákupy SW produktů

Kybernetická bezpečnost MV

Národní strategie cloud computingu České republiky

Jarní setkání

Principy G-Cloudu ve Velké Británii. červen 2015

Český egovernment 2015+

Veřejné cloudové služby

Informace k ICT projektům Ministerstva kultury

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Metodika stanovení požadavků na bezpečnost IS. Příloha č. 4 Souhrnné analytické zprávy

Možnosti pro čerpání dotací z fondů EU v rámci programového období

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Role MV v oblasti egovernmentu v programovém období

Implementace GeoInfoStrategie

Stanovisko Svazu průmyslu a dopravy ČR k materiálu Ministerstva vnitra ČR Národní strategie cloud computingu

egc Česká republika Vývoj trendů Světlá budoucnost? Pavel Hrdlička IBM

Státní pokladna. Centrum sdílených služeb

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Sdílené služby ve veřejné správě ČR. Ondřej Felix Hlavní architekt egovermentučr Petr Tiller

Otevřená data veřejné správy z pohledu České republiky

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

Základní registry nové generace MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ

Obsah Strategie rozvoje infrastruktury pro prostorové informace v ČR do roku (GeoInfoStrategie) Jiří Čtyroký, vedoucí Zpracovatelského týmu

Strategický dokument se v současné době tvoří.

Dopady GDPR a jejich vazby

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

GEOINFOSTRATEGIE AKTUÁLNÍ STAV

Budování a využívání cloudových služeb ve veřejné správě. leden 2015

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

GeoInfoStrategie. Strategie rozvoje infrastruktury pro prostorové informace včeské republice do roku 2020

Strategie rozvoje ČP OZ ICTs

Český egovernment CESTA k udržitelnému rozvoji

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Aktuální výzvy a novinky v oblasti otevřených dat v České republice

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Informační systémy veřejné správy (ISVS)

Bezpečností politiky a pravidla

Co jsme si to postavili aneb Sdílené služby ve veřejné správě ČR. Ondřej Felix Hlavní architekt egovernmentu ČR

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

PRIVÁTNÍ CLOUD V PROSTŘEDÍ RESORTU

Katalog služeb a podmínky poskytování provozu

KIVS setkání Další postup realizace KIVS

Příprava vybudování egov Cloudu (egc)

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Enterprise Architecture na MPSV

Výhody a rizika outsourcingu formou cloud computingu

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Zákon o kybernetické bezpečnosti a související předpisy

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY

Slovník pojmů. Příloha 2 Metodiky programu Digitální Česko Vladimír Dzurilla a tým Digitální Česko (M. Tax, M. D. Iľko)

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Cíle a architektura modelu MBI

Výkonnostní audit a výkonnost veřejné správy

Outsourcing v podmínkách Statutárního města Ostravy

Národní infrastruktura pro elektronické zadávání veřejných zakázek (NIPEZ)

Garant karty projektového okruhu:

OSNOVA PODNIKATELSKÉHO ZÁMĚRU (PZ)

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Transkript:

STAV PŘÍPRAV egovernment CLOUDU V ČR prof. Ing. Jiří Voříšek, CSc. Seminář CACIO, 20.11.2018

Agenda 1. Důvody pro vznik egc 2. Historie příprav egc 3. Cíle egc 4. Struktura egc a jeho služeb 5. Základní pravidla fungování egc 6. Bezpečnostní úrovně IS v egc 7. TCO podklad pro rozhodnutí o využití egc 8. Dekompozice IS z hlediska využití služeb egc 9. Katalogy služeb egc 10. Minimální smluvní podmínky KeGC 11. Řídicí orgán egc a jeho kompetence 12. Průběh nákupu služby KeGC 13. Řízení a nákup služeb SeGC 14. Harmonogram realizace egc 2

Důvody pro vznik egc Stav datových center státních institucí - výsledky průzkumu SPCSS z r. 2015: Žádné DC nesplnilo všechny kritické parametry Jen 10 ze 46 hodnocených DC splnilo alespoň 80 % kritických parametrů Stav je nevyhovující a uvedení všech stávajících DC do souladu s požadavky finančně nákladné Kontrolní závěr 14/20 NKÚ z r. 2015 V současnosti není nastaven systém rozvoje a udržitelnosti sdílených služeb datových center, není stanovena koordinace budování a rozvoje datových center, není stanoveno, kde by měly být současné i nově vzniklé informační systémy provozovány, a neexistují pravidla pro přechod veřejné správy do datových center provozovaných Českou poštou či STC. Nízké sdílení IT technologií a aplikací ve VS Rozsah problému demonstrují následující čísla (dle údajů https://www.sluzby-isvs.cz/ ke dni 25.7.2017): Počet OVM je cca 7500, Počet registrovaných informačních systémů VS je celkem 7 408 Každá instituce VS buduje a provozuje své IS nezávisle na ostatních Náklady IS VS - Porovnání systémů ERP, HR, e-mailu a spisové služby (průzkum MV ČR z 6/2015) Náklady na hodnocené informační systémy (e-mail, spisová služba, ERP a HR) přepočtené na jednoho uživatele se liší mezi resorty řádově Roční výdaje (investiční i provozní) mezi roky 2010 a 2016 postupně rostou od 9 mld. Kč do 15,8 mld. Kč Zkušenosti Velké Británie, Dánska a dalších zemí ukazují úspory při přechodu z nesdílených na sdílené služby formou egc 10% až 50%. Uvážíme-li konzervativní cílový odhad 20% úspor, pak by roční úspory při využití egc mohly být v řádu miliard Kč. 3

Historie příprav egc (již 4 roky!) Akční plán k Národní strategii kybernetické bezpečnosti úkol C.7.01, Vytvořit a vládě předložit Národní strategii cloud computingu Strategie rozvoje ICT služeb veřejné správy schválená vládou 11/2015 O22. Nákup nových ICT služeb směřovat na sdílené služby s využitím tzv. Government Cloudu a Katalogu sdílitelných ICT služeb. O23. Vybudovat síť státních center sdílených služeb propojených bezpečnou datovou komunikační infrastrukturou, která bude poskytovat sdílené ICT služby orgánům veřejné moci 12/2015 Národní strategie cloud computingu množství připomínek v meziresortu 11/2016 schválila Vláda ČR Strategický rámec Národního cloud computingu egovernment cloud ČR 9.12.2016 byla formálně ustanovena Pracovní skupina RVIS pro přípravu vybudování egovernment cloudu, složená ze zástupců MV, MF, NBÚ/NÚKIB, zástupců ústředních orgánů státní správy, zástupců zpravodajských služeb a zástupců odborné veřejnosti. Cílem projektu Příprava vybudování egovernment cloudu byla analýza legislativních, technických, ekonomických, organizačních a bezpečnostních podmínek vybudování egovernment cloudu Výstupem projektu je souhrnná analytická zpráva obsahující kromě analýzy i návrhy opatření a doporučení implementačních kroků a standardů pro využívání cloud computingu ve veřejné správě. Souhrnná analytická zpráva schválena vládou 14/11/2018 4

Cíle egc 1. Zvýšit rozsah sdílení aplikačních služeb VS a tím zefektivnit výdaje na ICT ve veřejné správě Metrika 1: (počet interních uživatelů ICT služeb) / (počet různých aplikačních služeb) Cílem je, aby hodnota této metriky rostla Metrika 2: (finanční objem služeb nakoupených přes egc v daném roce) Tato metrika měří, jak roste využívání služeb egc. Metrika 3: počet datových center veřejné správy Cílem je postupně snižovat počet datových center veřejné správy (a tím zvyšovat sdílení technologických ICT zdrojů) až k určitému optimu 2. Zrychlit a zefektivnit nákup standardních (komoditních) ICT služeb Metrika 4: průměrná doba nákupu ICT služby komoditního charakteru přes egc Nyní delší než 12 měsíců, ve VB 60 dní 3. Snížit náklady na služby veřejné správy přepočtené na jednu ICT službu a jednoho uživatele Metrika 5: celkové roční provozní náklady ICT služeb / počet provozovaných ICT služeb / celkový počet uživatelů těchto služeb n Metrika 6: úspory dosažené z provozu egc =σ k=1 (TCO in-house(k) TCO egc(k) ) 5

Cíle egc 4. Garance potřebné bezpečnosti a spolehlivosti provozu informačních systémů VS Metrika 7: počet bezpečnostních incidentů v datových centrech VS s dopadem na poskytované služby Metrika 8: (počet ostatních incidentů v datových centrech VS, které znamenaly porušení SLA) * (počet uživatelů, kteří byli výpadkem postiženi) 6

Struktura egc a jeho služeb egovernment Cloud je tvořen: vysoce bezpečnými (4. úroveň) ICT službami vybraných státních ICT podniků - tzv. státní cloud (SeGC) ICT službami (úrovně 1 až 3) privátních datových center tzv. komerční cloud (KeGC) Hybridní egc je kombinací služeb KeGC a SeGC, která vychází z principu dekompozice IS na části s různými úrovněmi bezpečnostních dopadů Všechny služby egc budou nabízeny přes centrální portál egc 7 VŠE Praha a MV ČR

Základní pravidla fungování egc U každého aktuálně provozovaného IS musí jeho správce určit a sledovat: skutečné investiční a provozní náklady požadovanou a aktuální bezpečnostní úroveň Určení služeb egc ŘOeGC bude identifikovat identické nebo podobné ICT služby (typu IaaS, PaaS, SaaS) dosud provozované odděleně pro různé potenciální zákazníky egc. Tyto služby budou postupně standardizovány (tj. budou stanoveny minimální požadavky na funkcionalitu, interoperabilitu, bezpečnost, dostupnost atd.) a standardizovaná služba bude nabízena pro více institucí současně z egc. Provozovatelé SeGC si nebudou konkurovat mezi sebou, ani s provozovateli KeGC. Cílem je maximalizovat využití zdrojů státních datových center a zajistit efektivitu vložených finančních prostředků a současně se vyhnout možným obviněním státu za nedovolenou podporu v konkurenčním boji. 8

Základní pravidla fungování egc Provozovatelé KeGC si budou mezi sebou konkurovat, tzn. že ŘOeGC bude při řízení KeGC postupovat tak, aby každý typ služby KeGC byl nabízen více provozovateli. Cílem je vyhnout se vendor lock-in a zajistit konkurenční tržní prostředí SeGC poskytuje služby, které nelze poskytovat v KeGC, proto jeho zákazníci (zákazníci SeGC) objednávají jeho služby bez potřeby veřejné zakázky Na nákup služeb KeGC jsou aplikována pravidla ZZVZ (Dynamický nákupní systém DNS) Zákazníci SeGC i KeGC uzavírají s vybraným provozovatelem služeb smlouvu o poskytování služeb, jejíž součástí je i definice SLA. Za užívání služeb SeGC i KeGC zákazníci egc platí Za porušení SLA je provozovatel služby penalizován. 9

Základní pravidla fungování egc Umístění IS do egc je dobrovolné pro kraje, města, obce, ČNB, zpravodajské služby, systémy bezpečnostních sborů, pokud provoz těchto systémů souvisí s plněním zákonem jim stanovených úkolů, systémy orgánů činných v trestním nebo soudním řízení, pokud provoz těchto systémů slouží pro trestní nebo soudní řízení, systémy v oblasti národní bezpečnosti, právnické osoby, v nichž má stát podíl alespoň 50%. Pro organizační složky státu (OSS) a jejich IS bude v první fázi (cca 2 roky) využití služeb egc také dobrovolné. Po schválení příslušné legislativy bude pro OSS a jejich IS neuvedené výše uplatněn princip cloud first, tj. jestliže dožije technologická infrastruktura stávajícího informačního systému nebo se staví nový či inovovaný informační systém, pak: OSS musí využít služby egc nejvyšší úrovně (prioritně SaaS, pak PaaS, nakonec IaaS), které naplňují potřeby části nebo celého IS. umístění do egc je nepovinné tehdy, když správce IS na základě analýzy TCO prokáže, že jiné řešení je ekonomicky výhodnější. 10

Bezpečnostní úrovně IS v egc Každý IS bude zařazen do jedné ze 4 bezpečnostních úrovní Metodika určení úrovně bezpečnostních dopadů IS posuzuje 10 oblastí: bezpečnost a zdraví osob, ochrana osobních údajů, zákonné a smluvní povinnosti, trestně-právní řízení, veřejný pořádek, mezinárodní vztahy, řízení a provoz organizace, ztráta důvěryhodnosti, finanční ztráty, zajišťování nezbytných služeb. Správci IS budou určovat, jaké maximální úrovně dopadu mohou nastat při narušení důvěrnosti, integrity, dostupnosti jejich IS, až po ztrátu dat (od poslední zálohy, až po totální ztrátu dat). Podle ní pak zařadí IS (nebo její komponentu) do jedné ze 4 úrovní bezpečnosti. 11 VŠE Praha a MV ČR

Bezpečnostní úrovně IS v egc Metodika definuje vlastnosti a opatření datového centra a jeho služeb, které musí splnit, jestliže chce dodávat služby dané bezpečnostní úrovně Popis opatření Regulace/norma N (1) S (2) V (3) K (4) Poznámka Smluvní podmínky mezi zákazníkem a provozovatelem služby egc Poskytovatel služeb egc musí nabízet služby v této úrovni SLA, SLA zahrnující úroveň dostupnosti (dle definice v tabulce úrovní dopadů) ČSN ISO/IEC 27001 A.15 99,00% 99,80% 99,90% 99,99% avšak v případě požadavku zákazníka může v dané bezpečnostní úrovni nabízet alternativu služby s nižší úrovní dostupnosti v SLA. Závazek účinného zavedení bezpečnostních opatření v rozsahu dané bezpečnostní úrovně ČSN ISO/IEC 27001 A.15, ZoISVS 5b X X X X Závazek poskytování informací o zavedených bezpečnostních opatřeních ČSN ISO/IEC 27001 A.15, ZoISVS 5b X X X X Smluvní podmínky dle čl. 28 Obecného nařízení GDPR GDPR + budoucí prováděcí předpisy X X X X Uplatnit všeobecně. Většina ISVS bude zpracovávat osobní údaje a všechny služby egc publikované v katalogu egc by na to měly být připraveny. Smluvní povinnost informovat OVM o bezp. incidentech týkajících se daného OVM (zákazníka egc služby), a ČSN ISO/IEC 27001 A.16.1.2 X X X X spolupracovat při jejich zvládání NDA ČSN ISO/IEC 27001 A.15 X X X Naplnění bezpečnostních opatření dle základních norem ZoKB, vyhl. č. 316 X X Aplikovatelnost dle VoKB 7, s upřesněním dle sdělení NBÚ č.j. 4486/2015-NBÚ/80, příp. dle upraveného znění 7 v připravované novele VoKB. egc služby v úrovni "3" musí splňovat požadavky kladené na VIS, a služby v úrovni "4" musí splňovat požadavky na KII. Zatím předpokládáme, že OVM provozující ISVS nebudou určené jako správci PZS. ČSN ISO/IEC 27001 část. X X X Pro úroveň "1" pouze deklarací poskytovatele a popisem zavedených bezpečnostních opatření v doménách A7, A9, A12, A13, A15, A16, A18, se smluvní možností auditu zákazníkem služby. Pro úroveň "2" jsou povinné všechny domény ISO s výjimkou A10 a A14. Pro úrovně "3" a "4" jsou poivnné všechny domény daného ISO. ČSN ISO/IEC 27017 X X X ČSN ISO/IEC 27018 GDPR X X X X Uplatnit jako výběrové kritérium OVM v případě zpracování osobních údajů Deklarace vhodného kodexu chování dle scénáře zpracování nebo certifikace dle GDPR Dle doporučení ÚOOÚ v době účinnosti GDPR X X X X Uplatnit jako výběrové kritérium OVM v případě zpracování osobních údajů; bude upřesněno ve spolupráci s ÚOOÚ ČSN ISO/IEC 20000 X Uplatnit v případech kdy OVM certifikuje celý systém na ISO 20000 Certifikace a audity Self-assessment dodavatele Viz poznámka v řádku naplnění ISO 27001 výše. ČSN ISO/IEC 27001 X Certifikace ČSN ISO/IEC 27001 Viz poznámka v řádku naplnění ISO 27001 výše. Vyhláška č. 316/2014 Sb. 29 X X X Certifikace ČSN ISO/IEC 27017 X X X Certifikace ČSN ISO/IEC 27018 X X X X Certifikace ČSN ISO/IEC 20000 X Uplatnit v případech kdy OVM certifikuje celý systém na ISO 20000 Auditní zpráva SOC 1 (SSAE16/ISAE 3402) Type II nebo ekvivalent ČSN ISO/IEC 27001 A.18, ZoKB/vyhláška č. 316/2014 Sb. 15 a sdělení NBÚ č.j. 4486/2015-NBÚ/80 X X Auditní zpráva SOC 2 (AT101) Type II nebo ekvivalent ČSN ISO/IEC 27001 A.18, ZoKB/vyhláška č. 316/2014 Sb. 15 a sdělení NBÚ č.j. 4486/2015-NBÚ/80 X X Zpráva o penetračních testech dle NIST SP 800-115 nebo OWASP Top Ten Project apod., provedení akreditovanou společností pod některým etickým kodexem, např. www.crest-approved.org, nebo umožní zákazníkovi provedení vlastních externích penetračních testů Bezpečnostní prověrky administrátorů v kombinaci "T" a "D" nebo bezp. způsobilost všech administrátorů dle 80-87 zák. č. 412/2005 Sb. Požadavky na úroveň zavedených bezpečnostních opatření ČSN ISO/IEC 27001 A.18, A.12, ZoKB/vyhláška č. 316/2014 Sb. 15, 24 X X ZoOUI X Z důvodu agregace služeb KII a možného zpracování utajovaných informací "V" Existence plánu pro BC/DR a zajištění geografické redundance dat, předat na vyžádání OVM, případně pod NDA ČSN ISO/IEC 27001 A.17, ZoKB/vyhláška č. 316/2014 Sb. 14 X X Upřesnění realizce opatření Rozhraní (API) pro předávání provozních záznamů (logů) minimálně pro vnitřní síťovou infrastrukturu relevantní pro danou egc službu, pro kontrolu stavu virtuálních výpočetních prostředků a datových úložišť, a případně pro aplikace, pokud jsou součástí dané služby. X X X Upřesnění realizce opatření Systém vyhodnocování bezpečnostních událostí (SIEM) a zpřístupnění prioritních událostí zákazníkovi egc služby X X Upřesnění realizce opatření Služby centra bezpečnostního dohledu 24x7x365 pro sledování, vyhodnocování a řešení bezpečnostních událostí (volitelná služba) ČSN ISO/IEC 27001 A.12.4., ZoKB/vyhláška č. 316/2014 Sb. 22 X X Upřesnění realizce opatření Bezpečnostní monitoring připojení do Centrálního místa služeb (CMS) prostřednictvím služby SOCR Ministerstva vnitra ČSN ISO/IEC 27001 A.12.4., ZoKB/vyhláška č. 316/2014 Sb. 22, 23; ZoISVS 6g X X X X Tato služba je poskytována s.p. NAKIT jako součást bezp. Opatření systému CMS, není odpovědností poskytovatele egc služby. Vynucení šifrování protokolem HTTPS / TLS při externích přenosech, vyloučení možnosti fallbacku na protokol HTTP (bez šifrování) ČSN ISO/IEC 27001 A.10.1.1 X X X X Upřesnění realizce opatření Ochrana dat šifrováním v úložištích v cloudové službě algoritmem publikovaným ve VoKB; v případě uložení šifrovacích klíčů mimo perimetr zákazníka, musí být klíče uloženy v HSM modulu úrovně ochrany FIPS 140-2 level 2 (nebo ekvivalent), který musí být pod správou povinné osoby (HSM jako volitelná služba) ČSN ISO/IEC 27001 A.10.1.2; Vyhláška č. 316/2014 Sb., Příloha 3 X X Upřesnění realizce opatření Deklarace místa uložení zákaznických dat v rámci jurisdikce EU; pokud by nastalo předání a zpracování dat (širší definice) mimo jurisdikci EU, provozovatel služby egc objasní důvody předávání a aplikuje některý způsob ČSN ISO/IEC 27001 A.9, A.11 X X X Upřesnění realizce opatření ošetření dle nařízení GDPR čl. 44 až 47. Provozovatel služby egc deklaruje a technicky objasní možnost průběžné replikace zákaznických dat do prostředí on-premise nebo do státní části egc. Požadavek podpory technické možnosti "bulk import/export dat" ČSN ISO/IEC 27001 A.17, ZoKB/vyhláška č. 316/2014 Sb. 26 X X X Upřesnění realizce opatření prostřednictvím zaslání šifrovaných paměťových médií. Architektura - využití kontejnérové technologie musí být v souladu s výsledky analýzy rizik s ohledem na hodnocení důvěrnosti zákaznických dat (kontejnérová technologie může snížit úroveň separace tenantů v cloudu) Bezpečnostní požadavky na komunikační sítě ISO 27017 CLD 12.4.5 X X Upřesnění realizce opatření Dostupnost prostřednictvím CMS (SLA) nesmí být horší než celková dostupnost služby egc ZoISVS 6g(4) 99,00% 99,80% 99,90% 99,99% Dostupnost prostřednictvím NIX.CZ (SLA)?? Je nějaké zdůvodnění požadavku? 99,00% 99,80% 99,90% 99,99% Splnění podmínek pro připojení do projektu FENIX (viz https://www.nix.cz/cs/file/nix_pravidla_fenix) - požadavek na poskytovale připojení Akční plán NBÚ k Národní strategii kybernetické bezpečnosti ČR 2015 až 2020, C.3.12 X X 12 Šifrované komunikace (TLS/VPN) přes Internet/NIX s využitím kryptografických algoritmů publikovaných ve VoKB. X X X X VŠE Praha a MV ČR

TCO podklad pro rozhodnutí o využití egc Metodika TCO (tj. určení celkových investičních a provozních nákladů IS za 5 let provozu) je nástrojem egc, který podporuje činnost správce IS, aby se mohl chovat jako správný hospodář. Metodika umožňuje porovnat celkové náklady různých variant provozu IS (zejména varianty egc a varianty in-house provozu). Metodika TCO řeší: přehledné vymezení (definice) všech relevantních nákladů, které jsou uplatňovány jak při pořízení, tak při provozu ICT služeb v režimu onpremise, popis nákladových položek, který bude plnit roli návodu a umožní správci IS určit hodnoty jako vstupy do kalkulace ekonomické výhodnosti, stanovení hodnot pro ty nákladové položky, které lze obecně uplatnit pro každou kalkulaci ICT služby napříč potřebami všech IS. Tyto údaje mají doporučující charakter a vycházejí z příkladů dobré praxe, zkušeností některých správců IS s kalkulací nákladů ICT služeb v předešlých letech, nebo legislativního vymezení, porovnání ekonomické výhodnosti ICT služby v režimu on-premise s pořízením ICT služby v prostředí egc, a to na všech požadovaných úrovních (SaaS, PaaS, IaaS podle povahy ICT služby) Kalkulace TCO služby v režimu on-premise musí vzít v úvahu náklady na případné uvedení on-premise prostředí do souladu s požadavky bezpečnostní úrovně služeb egc určené pro daný IS (bezpečnostní opatření odpovídající bezpečnostním standardům a opatřením 13

Dekompozice IS z hlediska využití služeb egc Každý IS bude dekomponován ze dvou hledisek: Operační (provozně funkční) Vývojové prostředí v KeGC Testovací prostředí v KeGC Školící prostředí v KeGC Sekundární Site Recovery instance ISVS v KeGC Záloha dat do KeGC Architektonické Front End v KeGC Sekundární storage v KeGC Data a analytické služby v KeGC Monitoring infrastrukturní a aplikační v KeGC Po dekompozici IS na jednotlivé komponenty dle výše uvedených hledisek je každá komponenta zařazena samostatně do své úrovně bezpečnosti. 14

Katalogy služeb egc Katalog služeb egc je seznam služeb egc, který definuje služby egc, jejich strukturu a hierarchii a jejich parametry. Katalogový list služby egc je popis jedné služby, určuje zejména parametry, kterými je daná služba definována. Vzhledem k použitým soutěžním a nákupním mechanismům KeGC je katalog služeb egc ve skutečnosti tvořen sadou souvisejících katalogů s jednotnou strukturou: Rámcový katalog služeb egc popisuje strukturu a hierarchii služeb egc, jejich povinné parametry, minimální smluvní podmínky a další související informace. Slouží zároveň jako primární společná struktura služeb pro všechny ostatní katalogy KeGC i SeGC. Je vytvořen a udržován ŘOeGC. Katalog tržní nabídky služeb KeGC obsahuje obecné nabídky dodavatelů KeGC, včetně detailních parametrů služby a indikativních cen. Strukturu katalogu a strukturu parametrů služeb určuje ŘOeGC, jeho obsah naplňují potenciální dodavatelé KeGC. Katalog poptávek služeb KeGC obsahuje konkrétní zadání minitendrů soutěžního mechanismu KeGC. Jednotlivá zadání jsou tvořena zákazníky egc. Katalog závazných nabídek služeb KeGC obsahuje závazné nabídky dodavatelů KeGC včetně cen, odpovědí na poptávky služeb egc v jednotlivých minitendrech. Katalog služeb SeGC obsahuje seznam a popis detailně definovaných, přímo objednatelných služeb egc, vytvořený provozovatelem SeGC ve spolupráci a pod kontrolou ŘOeGC. 15

Minimální smluvní podmínky KeGC Bezp. Úroveň Nízká KeGC Dostupnost 96,16% Provozní doba pod SLA Provozní doba pod SLA: minimálně určených 10 hodin v pracovní dny. Nezapočítávají se dny pracovního volna a dny pracovního klidu stanovené pro ČR. Např. r. 2018 má 250 pracovní dní, na bázi 10 hod. pod SLA denně, což dává max. měsíční výpadek 8,3 hod. při dostupnosti 96% (vztaženo na dobu pod SLA). Přípustná doba kumulovaných výpadků, s měsíčním vyhodnocováním Max. 8 hod., avšak pouze v rámci definované pracovní doby Tato dostupnost může být např. vhodná pro některé back office systémy obcí a měst. Provozní doba pod SLA: 24x7 (připravenost pro služby související s úplným el. podáním). Střední KeGC 99,45% Avšak určité služby SaaS, u nichž to lze předpokládat vzhledem k provozním aspektům, lze nabízet s omezením Provozní doby pod SLA na pracovní dny a vymezenou pracovní dobu. To znamená, že el. podání bude obvykle fungovat nepřetržitě, ale reakce poskytovatele na nahlášené incidenty je omezena. Max. 4 hod. na bázi 24x7 Vysoká KeGC 99,9% Provozní doba pod SLA: 24x7 (připravenost pro služby úplného el. podání, a pro ISVS pod ZoKB). Určité služby SaaS, u nichž to lze předpokládat vzhledem k provozním aspektům, lze nabízet s omezením Provozní doby pod SLA na pracovní dny a vymezenou pracovní dobu. Max. 43 min. na bázi 24x7 Provozní doba pod SLA: 24x7 (připravenost pro systémy kritické informační infrastruktury pod ZoKB). Kritická SeGC 99,99% Vyhodnocování je zde z praktických důvodů na roční bázi, avšak jednotlivé výpadky bez penalizace jsou omezeny na max. 15 minut. Jednotlivý výpadek max. 15 min. Max. kumulovaný roční výpadek 52 min. (odpovídá 99,99%) Cloudové služby SaaS v této úrovni dopadu budou mít rovněž smluvně dané max. doby RPO / RTO. 16 VŠE Praha a MV ČR

Minimální smluvní podmínky KeGC Minimální doba podpory služby pro jednotlivé bezpečnostní úrovně: Bezp. úroveň Doba podpory služby Nízká Střední Vysoká Kritická Podpora a servis pouze v pracovní dny a v určené pracovní době. Podpora a servis 24x7 (Pro SaaS může být variantně určená Pracovní doba) Podpora a servis 24x7 (Pro SaaS může být variantně určená Pracovní doba) Podpora a servis 24x7 Úrovně podpory služby a prioritizace hlášených incidentů ze strany zákazníka: Úroveň podpory Priority incidentu a očekávaná doba reakce Nízký business impact Střední business impact Kritický business impact Úroveň 1. Max. 8 hodin, pouze v pracovní dny Max 4 hod., 24x7, případně pouze po vymezenou pracovní dobu Max. X hod,. 24x7 Úroveň 2. Max. X hod., pouze v pracovní dny Max. X hod., 24x7 Max. X hod,. 24x7 Úroveň 3. Max. X hod., pouze v pracovní dny Max. X hod., 24x7 Max. X hod,. 24x7 17

Řídicí orgán egc ŘOeGC je Řídící orgán egc (viz obdoba Government Digital Service ve Velké Británii nebo Úradu podpredsedu vlády SR pre investície a informatizáciu na Slovensku). ŘOeGC řídí rozvoj a provoz státní i komerční částí egc. ŘOeGC zřídí ministr vnitra jako nový útvar v rámci MV ČR. Pro ŘOeGC bude zřízen meziresortní poradní orgán složený ze zástupců Ministerstva vnitra, Ministerstva financí a NÚKIB, zástupců zpravodajských služeb, zástupců ústředních orgánů státní správy, zástupců orgánů veřejné správy a zástupců odborné veřejnosti. 18

Procesy egc Správce IS Příprava IS pro eventuální využití služeb egc Nákup služeb SeGC Nákup služeb KeGC Vytvoření SeGC Řízení služeb SeGC ŘOeGC Vypsání soutěžního rámce KeGC Kvalifikace dodavatelů KeGC Zařazení předběžných nabídek KeGC Provozovatel SeGC Vytvoření SeGC Práce s katalogy aktuálně provozovaných aplikací a datových center VS Práce s Portálem egc Prodej služeb SeGC Provozovatel KeGC Kvalifikace dodavatelů KeGC Zařazení předběžných nabídek KeGC Prodej služeb KeGC 19

Průběh nákupu služby KeGC Pro nákup služeb z KeGC se využívá dvoustupňový soutěžní mechanismus DNS s centrálním zadáváním. Mechanismus umožňuje průběžné zapojování dalších zadavatelů (zákazníků KeGC) a dodavatelů/provozovatelů služeb egc. Soutěžní mechanismus KeGC je organizován v pevně daných, obsahově a časově vymezených soutěžních rámcích (viz obrázek). Soutěžní rámce se mohou časově překrývat a mohou v nich platit různá pravidla. Katalog služeb egc bude realizován rozdělením do několika paralelních soutěžních rámců podle typu služby (např. oddělení IaaS/PaaS a SaaS) nebo podle bezpečnostních úrovní. Analýza potřeb, Rámcový katalog Kvalifikace dodavatelů Průzkum trhu Minitendry Soutěžní rámec 1 Smlouvazákazníka egc 1 Smlouva zákazníka egc 2 Smlouvazákazníka egc 3 Analýza potřeb, Rámcový katalog Kvalifikace dodavatelů Průzkum trhu Minitendry Soutěžní rámec 2 Smlouvazákazníka egc 1 20

Řízení a nákup služeb SeGC ŘOeGC: prověří a schválí požadavky věcných správců IS na využití služeb SeGC v jednotlivých časových obdobích. Případné rozpory mezi správcem IS a ŘOeGC řeší ŘOeGC s pomocí svého poradního orgánu a v další instanci ministr vnitra s příslušným ministrem nebo statutárním zástupcem příslušného ústředního orgánu, na základě schválených požadavků určí potřebnou kapacitu služeb SeGC v jednotlivých časových obdobích. prověří naplnění bezpečnostních a provozních požadavků provozovatelem SeGC v dané etapě, a to ve spolupráci s NÚKIB, dohodne s provozovatelem SeGC nabídkové parametry služeb SeGC (zejména vzorová SLA a jednotkové nabídkové ceny). Poté služby zveřejní na portálu egc, a to ve stejné struktuře jakou mají katalogy služeb KeGC, vytvoří harmonogram pro migraci IS do SeGC ten bude vytvořen na základě těchto typů informací získaných z katalogu DC a z katalogu ISoISVS, kdy bude ukončena životnost DC, ve kterém je IS aktuálně provozován, jak velký je rozdíl mezi požadovanou úrovní bezpečnosti daného IS a úrovní, které je schopno zajistit stávající DC (čím větší tento rozdíl bude, tím vyšší bude priorita migrace IS do SeGC), na jaké platformě je IS provozován, jaký je plánovaný rozvoj IS, jaké jsou volné kapacity SeGC, monitoruje migraci IS do SeGC a monitoruje provoz služeb SeGC. Věcný správce IS: Na základě katalogu služeb SeGC dohodne s provozovatelem SeGC poskytované služby a uzavře smlouvu. 21 VŠE Praha a MV ČR

Harmonogram realizace egc 31.12.2018 31.12.2019 31.12.2020 II.1 Legislativní komise Příprava a schválení legislativních změn I. Příprava II.2 Ustanovení ŘOeGC III. Řízení migrace do egc II.3 Katalog Zadání DNS První kolo soutěžních rámců KeGC Druhé kolo soutěžních rámců KeGC III. Další soutěžní rámce KeGC II.4 Studie proveditelnosti Portál egc - implementace II.5 Hodn. KII a VIS Projekt SeGC II.6 Pilotní provoz SeGC III. Provoz SeGC 22

Děkuji za pozornost 23

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář