Elektronické mýto z pohledu legislativy Martin Dudek http://www.relsie.cz/
Témata 1. Životní cyklus ISVS 2. Legislativa 3. Průběh atestace 4. Best practise
Životní cyklus ISVS Je požadován / Není striktně stanoven Implementační metodiky dodavatelů Implementační metodiky odběratelů Normy
Legislativa Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Určuje: zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k utajovaným informacím, požadavky na ochranu utajovaných informací Podmínky: Utajovanou informací v režimu zákona č. 412/2005 Sb., je pouze informace, která naplňuje 2 základní znaky: Znak materiální: informace může (je způsobilá) přivodit újmu zájmům České republiky nebo být nevýhodná pro zájmy ĆR, a SOUČASNĚ Znak formální: musí se jednat o informaci spadající do některé z kategorií informací podle nařízení vlády č. č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací.
Legislativa Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Osobní údaj Správce Zpracovatel Úřad pro ochranu osobních údajů (WWW.UOOU.CZ)
Legislativa Zákon 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů ISVS Správce ISVS Standard ISVS / vyhláška MIČR (MVČR) Odbor koncepce a koordinace ISVS MVČR, ředitelka odboru Mgr. Dagmar Bosáková
Legislativa Základní rámec Novela zákona č. 365/2000 Sb. o ISVS Vyhláška č.529/2006 Sb., o dlouhodobém řízení ISVS Vyhláška č. 53/2007 Sb., o referenčním rozhraní Další normy, které se k základním vztahují Vyhláška č. 528/2006 Sb.,o informačním systému o informačních systémech VS Vyhláška č. 469/2006 Sb., o IS o datových prvcích (ISDP)
Přechodná ustanovení Legislativa Způsobilost informačního systému k realizaci vazeb prostřednictvím referenčního rozhraní musí být prokázána atestem po 1. lednu 2009. Povinnost zpracovat informační koncepci a provozní dokumentaci musí být splněna do dvou let od nabytí účinnosti příslušné části zákona, tj. do 1. ledna 2009. Povinnost atestace dlouhodobého řízení informačních systémů (informační koncepce a provozní dokumentace) musí být splněna do tří let od nabytí účinnosti příslušné části zákona, tj. do 1. ledna 2010.
Vyhláška 529/2006 Sb. o dlouhodobém řízení ISVS Obsah a struktura IK /heslovitě, detail viz vyhláška/ a) Charakteristika každého ISVS jehož je orgán veřejné správy správcem [ pozn.: 2, odst.2, písm.a), písm.b) ] b) Záměry na pořízení nebo vytvoření nových ISVS c) Dlouhodobé cíle v oblasti řízení kvality ISVS, požadavky na kvalitu a plán řízení kvality d) Dlouhodobé cíle v oblasti řízení bezpečnosti ISVS, požadavky na bezpečnost a plán řízení bezpečnosti e) Soubor základních pravidel (dále zásady ) pro správu ISVS f) Způsob financování záměrů dlouhodobých cílů a správy ISVS g) Postupy při vyhodnocování dodržování IK a při provádění jejích změn h) Funkční zařazení zaměstnance nebo FO, nebo org.útvaru, který řídí provádění činností vedoucích k dosažení cílů, naplňování zásad a uplatňování postupů, které jsou v IK uvedeny, a ke splnění povinností, které orgánu VS stanoví zákon i) Dobu platnosti IK
Vyhláška 529/2006 Sb. o dlouhodobém řízení ISVS Provozní dokumentace (PD) - struktura Provozní dokumentace ISVS je soubor těchto dokumentů a) bezpečnostní dokumentace ISVS, b) systémová příručka, c) uživatelská příručka. Bezpečnostní dokumentaci ISVS tvoří a) bezpečnostní politika (BP) ISVS a to vždy, pokud systém má vazby s ISVS j i n é h o správce nebo pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.
Vyhláška 53/2007 Sb. o referenčním rozhraní Technické náležitosti uskutečňování vazeb 1. Vazbu je možné uskutečnit mezi informačními systémy zveřejněnými v IS obsahujícími základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy. 2. Při uskutečňování vazby musí být použity datové prvky, které jsou vyhlášeny prostřednictvím informačního systému o datových prvcích ( upravuje Vyhláška č. 469/2006 Sb.) 3. Vazby se uskutečňují v souladu s technickými náležitostmi: zápis do ISVS v IS o ISVS použití datových prvků, které jsou vyhlášeny MVČR v ISDP popis technických náležitostí vazby v technické dokumentaci popsanými v technické dokumentaci služby, pro k a ž d o u poskytovanou službu nebo poskytovanou informaci.
Průběh atestace Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS Předmět úpravy Postup atestačního střediska při posuzování dlouhodobého řízení ISVS Kroky posuzování Zkouška Stanovení výsledku zkoušky Posuzované dokumenty Informační koncepce Provozní dokumentace Posuzuje se a) Úplnost IK-zda má stanovený obsah (podle vyhl.č.529/2006 Sb.) b) Úplnost provozní dokumentace zda má stanovený obsah (vyhl.č.529/2006 Sb.) c) Srozumitelnost a přehlednost textu IK a PD d) Kvalita konkrétních řešení ( soulad návrhů z běžně užívanými postupy a opatřeními) e) Vyhodnocení dodržování IK f) Přijímání opatření k odstranění nedostatků zjištěných při vyhodnocování IK
Průběh atestace Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní Předmět úpravy Postup ATS při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní Způsob posuzování způsobilosti Zkouška Stanovení výsledku zkoušky (výsledek - pouze splňuje nebo nesplňuje) Zkouška a) soulad realizace vazby s technickou dokumentací služby (viz ještě další slide) b) soulad datových prvků použitých při realizaci vazby s DP vyhlášenými prostřednictvím ISDP
Průběh atestace Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní Při provádění zkoušky podle písm. a) /z předchozího snímku/ se I. ověřuje zda vazba je v souladu s technickou dokumentací služby pro všechny postupy uvedené v technické dokumentaci, kterými lze požádat o službu nebo informaci, nebo pro část těchto postupů, a II. posuzuje soulad 1. odpovědi ISVS na žádost o službu 2. realizace vazby s dokumentací služby 3. způsob zajištění bezpečnosti poskytované služby ATS při posuzování způsobilosti k realizaci vazeb prostřednictvím RR m u s í využívat údaje z IS o ISVS a z ISDP Výsledky zkoušky se stanoví podle učiněných zjištění pokud alespoň jedno posuzované hledisko klasifikováno jako nesplněno pak je celkový výsledek zkoušky také klasifikován výrokem nesplňuje Účinnost od 13.března 2007
Best practises Normy: Systémové inženýrství - Procesy životního cyklu systému ČSN ISO/IEC 15288 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací ČSN ISO/IEC 27001, ČSN ISO/IEC 17799 Informační technologie - Management služeb ČSN ISO/IEC 20000
Ing.Martin Dudek ředitel Atestačního střediska pro ISVS martin.dudek@relsie.cz www.relsie.cz tel. +420 257 212 115 tel. +420 724 344 537 Děkuji za pozornost.