Atestace informačních systémů veřejné správy Vladimír Matějíček 5.12.2007
Co se atestuje a jak? Předmět atestace Dlouhodobé řízení ISVS informační koncepce provozní dokumentace (bezpečnostní politika) Způsobilost k realizaci vazeb ISVS s jiným IS realizuje se skrze referenční rozhraní (MV ČR) Zákonná úprava Zákon č. 365/2000 o ISVS novelizován zákonem č. 81/2006 Sb. Prováděcí předpisy vyhláška č. 53/2007 o referenčním rozhraní vyhláška č. 528/2006 o informačním systému o ISVS vyhláška č. 529/2006 o dlouhodobém řízení ISVS vyhláška č. 530/2006 o postupech atestačních středisek
Co se atestuje a jak? Proč atestovat? Dlouhodobé řízení ISVS informační koncepce upravuje dlouhodobé cíle a obecné principy při všech činnostech se všemi ISVS provozní dokumentace vychází z informační politiky dokumenty je nutné zpracovat do konce r. 2008 dokumenty je nutné atestovat do konce r. 2009 Způsobilost k realizaci vazeb ISVS s jiným IS způsobilost k realizaci vazeb jednotlivých ISVS
DŘ ISVS Informační koncepce co má obsahovat? charakteristiky jednotlivých ISVS výhled do budoucna (záměr na pořízení nových ISVS) dlouhodobé cíle v oblasti řízení kvality (a jak jich dosáhnout) dlouhodobé cíle v oblasti řízení bezpečnosti (a jak jich dosáhnout) postupy při vyhodnocování dodržování IK postupy při provádění změn IK zásady pro správu IS a postupy pro jejich naplnění financování IS funkční zařazení osoby zodpovědné za (naplňování) IK Příklady informačních koncepcí IK ústředního orgánu veřejné správy IK obce s rozšířenou působností IK obce s pověřeným obecním úřadem IK obce s výkonem přenesené působnosti v základním rozsahu http://www.micr.cz/scripts/detail.php?id=3768
DŘ ISVS Provozní dokumentace bezpečnostní dokumentace IS (může být zpracována pro více ISVS) systémové příručky uživatelské příručky Bezpečnostní dokumentace Bezpečnostní politika IS Bezpečnostní směrnice pro činnost bezpečnostního správce atestuje se pouze Bezpečnostní politika
DŘ ISVS Postup při atestaci atestačnímu středisku předáte dokumentaci atestační středisko posoudí vlastnosti předložené dokumentace v případě zjištění nedostatků je možné je odstranit zjištěné údaje jsou zaznamenány do protokolu o atestaci v případě splnění všech požadavků je vydán atest atest se vystavuje na max. 5 let Co se posuzuje úplnost dokumentů srozumitelnost, přehlednost, logická konzistence kvalita řešení postupy při vyhodnocování IK postupy při přijímání opatření k odstranění nedostatků zjištěných při vyhodnocování
DŘ RR Co je referenční rozhraní ze zákona: sdílené a bezpečné rozhraní ISVS jako souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí ISVS pro lidi: rozhraní přes které komunikují 2 různé informační systémy a všechny příslušející náležitosti stanoví a spravuje jej MV ČR OVS jsou povinny zajistit, aby vazby jimi provozovaných IS na jiné IS byly uskutečňovány prostřednictvím RR
DŘ RR Co je vazba Povinné uvedení v IS o ISVS: vazba je uskutečnitelná pouze pokud je ISVS uveden v IS o ISVS, kde jsou uvedeny údaje o jeho dostupnosti a obsahu Povinné používání vyhlášených datových prvků: vazba je uskutečnitelná pouze s použitím datových prvků vyhlášených prostřednictvím IS o DP (informační systém o datových prvcích) Povinné vytváření záznamů: vazba je uskutečnitelná pouze pokud jsou o událostech spojených s realizací vazby vytvářeny záznamy a tyto záznamy jsou uchovávány
DŘ RR Údaje pro IS o ISVS Technická dokumentace služby - URL dokumentace služby - URL bezpečnostní politiky služby - URL popisu služby Identifikace datových prvků - datové prvky jsou IS o ISVS automatizovaně vybrány z popisu služby - seznam je možné ručně doplnit o prvky z IS o ISVS (návaznost na ISDP) Provoz referenčního rozhraní V případě změn aktualizovat údaje v IS o ISVS. Sledovat vyhlášené datové prvky a udržovat datové prvky použité při realizaci v souladu s obsahem ISDP. Dokumentovat a uchovávat logy (události spojené s realizací vazby). Zajistit atestaci RR nejpozději do konce r. 2008.
DŘ RR Atestace Stanovení shody způsobilosti k realizaci vazeb ISVS s jinými ISVS prostřednictvím referenčního rozhraní s požadavky zákona č. 365/2000 Sb. a prováděcích předpisů Atest je vydáván pro každý ISVS zvlášť. Postup: Žadatel: předá údaje do ISVS a uzavře smlouvu s vybraným atestačním střediskem. Atestační středisko (AS): provede praktické posouzení vazby ISVS. Žadatel: odstraní nedostatky v rámci posuzování vazby (pokud byly nějaké zjištěny). Atestační středisko (AS): vydá protokol o provedené zkoušce a (ne)vydá příslušný atest.
DŘ RR Jak se shoda posuzuje? Informace - AS čerpá informace o vazbě z IS o ISVS a o datových prvcích z ISDP Praktická zkouška: - AS požádá o službu ISVS (při některých nebo všech možných postupech) - AS obdrží službu / chybové hlášení apod. - AS porovná výsledek s dokumentací v IS o ISVS Odpovědi ISVS na žádost o službu nebo informaci, včetně chybových hlášení (pokud k nim dojde) s dokumentací služby. Realizace vazby s dokumentací služby. Zajištění bezpečnosti služby a rozsahu přístupových oprávnění (i jejich omezení) pro jednotlivé uživatele s bezpečnostní politikou sužby. Soulad datových prvků s datovými prvky vyhlášenými v ISDP.
Jak určit ISVS? ISVS je uveden v právních předpisech - zákon přímo upravuje vedení IS, jako ISVS jej označuje a přímo odkazuje na zákon č. 365/2000 - zákon upravuje vedení konkrétního registru = evidence, rejstřík apod., označuje jej jako ISVS (ale v názvu není exaktně uvedeno informační systém nebo systém ) a odkazuje na zákon č. 365/2000 - zákon upravuje vedení konkrétního registru nebo IS, označuje jej jako ISVS, ale neodkazuje na zákon č. 365/2000 - zákon upravuje vedení ISVS, ale jako ISVS jej výslovně neoznačuje ISVS bez úpravy v právních předpisech - vedení ISVS nemusí být výslovně upraveno zvláštním právním předpisem (např. evidence držitelů psů)
Jak určit ISVS? Co není kritériem pro určení ISVS? Dostupnost - není podstatné, zda se jedná o veřejný nebo neveřejný ISVS Outsourcing - není podstatné, zda systém provozuje přímo úřad nebo jiným subjektem Co není ISVS? Provozní ISVS Provozní SW (operační systém, webový prohlížeč, e- mailový klient, textový nebo tabulkový editor) Webové stránky SW pro elektronickou podatelnu, spisovou službu
Jak určit ISVS? Jak určit ISVS? Ohrozí nefunkčnost IS povinnosti plynoucí z kompetencí daného OVS? Jsou v IS uloženy údaje o vykonávané správné činnosti (nebo údaje pro podporu této činnosti)? 3 zákona č. 365/2000 Sb. určuje na které ISVS se tento zákon vztahuje Typické ISVS u obcí Evidence pokut Evidence poplatků Evidence obyvatel Evidence držitelů psů Elektronická podatelna Elektronická spisová služba
Jak určit ISVS? Provozní IS Provozní ISVS zajišťují informační činnost nutné pro vnitřní provoz příslušného orgánu, například účetnictví nebo správu majetku, a nesouvisejí přímo s výkonem veřejné správy. Příklady: - účetní programy - IS pro správu majetku - evidence docházky zaměstnanců - evidence došlých faktur - další Při zpracovávání IK je, z hlediska praxe, snazší zahrnout do IK všechny IS (včetně provozních).
Atestační středisko EQUICA Rubeška 216 180 00, Praha 8 Vysočany www.equica.cz/atestace-isvs Vladimír Matějíček vladimir.matejicek@equica.cz +420 724 101 555 http://www.equica.cz/atestace-isvs Prezentace bude uvedena na: http://www.slideshare.net/equica