Elektronické mýto z pohledu legislativy Martin Dudek

Elektronické mýto z pohledu legislativy Martin Dudek

http://www.relsie.cz/

Témata 1. 2. 3. 4.

Životní cyklus ISVS Legislativa Průběh atestace Best practise

22.2.2008

[email protected]

http://www.relsie.cz/

Životní cyklus ISVS Je požadován / Není striktně stanoven Implementační metodiky dodavatelů Implementační metodiky odběratelů Normy

22.2.2008

[email protected]

http://www.relsie.cz/

Legislativa Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Určuje: • zásady pro stanovení informací jako informací utajovaných, • podmínky pro přístup k utajovaným informacím, • požadavky na ochranu utajovaných informací Podmínky: • Utajovanou informací v režimu zákona č. 412/2005 Sb., je pouze informace, která naplňuje 2 základní znaky: • Znak materiální: informace může (je způsobilá) přivodit újmu zájmům České republiky nebo být nevýhodná pro zájmy ĆR, a SOUČASNĚ • Znak formální: musí se jednat o informaci spadající do některé z kategorií informací podle nařízení vlády č. č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací. 22.2.2008

[email protected]

http://www.relsie.cz/

Legislativa Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů •

Osobní údaj

• •

Správce Zpracovatel

Úřad pro ochranu osobních údajů (WWW.UOOU.CZ) 22.2.2008

[email protected]

http://www.relsie.cz/

Legislativa Zákon 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů • •

ISVS Správce ISVS

•

Standard ISVS / vyhláška MIČR (MVČR) Odbor koncepce a koordinace ISVS MVČR, ředitelka odboru Mgr. Dagmar Bosáková

22.2.2008

[email protected]

http://www.relsie.cz/

Legislativa Základní rámec

• • •

Novela zákona č. 365/2000 Sb. o ISVS Vyhláška č.529/2006 Sb. , o dlouhodobém řízení ISVS Vyhláška č. 53/2007 Sb., o referenčním rozhraní

Další normy, které se k základním vztahují

• •

Vyhláška č. 528/2006 Sb.,o informačním systému o informačních systémech VS Vyhláška č. 469/2006 Sb., o IS o datových prvcích (ISDP)

22.2.2008

[email protected]

http://www.relsie.cz/

Legislativa Přechodná ustanovení •

Způsobilost informačního systému k realizaci vazeb prostřednictvím referenčního rozhraní musí být prokázána atestem po 1. lednu 2009.

•

Povinnost zpracovat informační koncepci a provozní dokumentaci musí být splněna do dvou let od nabytí účinnosti příslušné části zákona, tj. do 1. ledna 2009.

•

Povinnost atestace dlouhodobého řízení informačních systémů (informační koncepce a provozní dokumentace) musí být splněna do tří let od nabytí účinnosti příslušné části zákona, tj. do 1. ledna 2010.

22.2.2008

[email protected]

http://www.relsie.cz/

Vyhláška 529/2006 Sb. o dlouhodobém řízení ISVS Obsah a struktura IK /heslovitě, detail viz vyhláška/ a)

Charakteristika každého ISVS jehož je orgán veřejné správy správcem [ pozn.: § 2, odst.2, písm.a), písm.b) ]

b) c) d) e) f) g) h)

i)

Záměry na pořízení nebo vytvoření nových ISVS Dlouhodobé cíle v oblasti řízení kvality ISVS, požadavky na kvalitu a plán řízení kvality Dlouhodobé cíle v oblasti řízení bezpečnosti ISVS, požadavky na bezpečnost a plán řízení bezpečnosti Soubor základních pravidel (dále“zásady“) pro správu ISVS Způsob financování záměrů dlouhodobých cílů a správy ISVS Postupy při vyhodnocování dodržování IK a při provádění jejích změn Funkční zařazení zaměstnance nebo FO, nebo org.útvaru, který řídí provádění činností vedoucích k dosažení cílů, naplňování zásad a uplatňování postupů, které jsou v IK uvedeny, a ke splnění povinností, které orgánu VS stanoví zákon Dobu platnosti IK

22.2.2008

[email protected]

http://www.relsie.cz/

Vyhláška 529/2006 Sb. o dlouhodobém řízení ISVS Provozní dokumentace (PD) - struktura Provozní dokumentace ISVS je soubor těchto dokumentů a) bezpečnostní dokumentace ISVS, b) systémová příručka, c) uživatelská příručka.

Bezpečnostní dokumentaci ISVS tvoří a) bezpečnostní politika (BP) ISVS a to vždy, pokud systém má vazby s ISVS j i n é h o správce nebo pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému. 22.2.2008

[email protected]

http://www.relsie.cz/

Vyhláška 53/2007 Sb. o referenčním rozhraní Technické náležitosti uskutečňování vazeb 1.

Vazbu je možné uskutečnit mezi informačními systémy zveřejněnými v IS obsahujícími základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy.

2.

Při uskutečňování vazby musí být použity datové prvky, které jsou vyhlášeny prostřednictvím informačního systému o datových prvcích ( upravuje Vyhláška č. 469/2006 Sb.)

3.

Vazby se uskutečňují v souladu s technickými náležitostmi: ¾ zápis do ISVS v IS o ISVS ¾ použití datových prvků, které jsou vyhlášeny MVČR v ISDP ¾ popis technických náležitostí vazby v technické dokumentaci popsanými v technické dokumentaci služby, pro k a ž d o u poskytovanou službu nebo poskytovanou informaci. 22.2.2008

[email protected]

http://www.relsie.cz/

Průběh atestace Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení ISVS • •

•

•

Předmět úpravy Postup atestačního střediska při posuzování dlouhodobého řízení ISVS Kroky posuzování Zkouška Stanovení výsledku zkoušky Posuzované dokumenty Informační koncepce Provozní dokumentace Posuzuje se a) Úplnost IK-zda má stanovený obsah (podle vyhl.č.529/2006 Sb.) b) Úplnost provozní dokumentace – zda má stanovený obsah (vyhl.č.529/2006 Sb.) c) Srozumitelnost a přehlednost textu IK a PD d) Kvalita konkrétních řešení ( soulad návrhů z běžně užívanými postupy a opatřeními) e) Vyhodnocení dodržování IK f) Přijímání opatření k odstranění nedostatků zjištěných při vyhodnocování IK

22.2.2008

[email protected]

http://www.relsie.cz/

Průběh atestace Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní • Předmět úpravy Postup ATS při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní

•

Způsob posuzování způsobilosti Zkouška Stanovení výsledku zkoušky (výsledek - pouze splňuje nebo nesplňuje)

•

Zkouška a)

soulad realizace vazby s technickou dokumentací služby (viz ještě

b)

soulad datových prvků použitých při realizaci vazby s DP vyhlášenými prostřednictvím ISDP

22.2.2008

další slide)

[email protected]

http://www.relsie.cz/

Průběh atestace Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní Při provádění zkoušky podle písm. a) /z předchozího snímku/ se I. ověřuje zda vazba je v souladu s technickou dokumentací služby pro všechny postupy uvedené v technické dokumentaci, kterými lze požádat o službu nebo informaci, nebo pro část těchto postupů, a II.

• •

•

posuzuje soulad 1. odpovědi ISVS na žádost o službu 2. realizace vazby s dokumentací služby 3. způsob zajištění bezpečnosti poskytované služby ATS při posuzování způsobilosti k realizaci vazeb prostřednictvím RR m u s í využívat údaje z IS o ISVS a z ISDP Výsledky zkoušky se stanoví podle učiněných zjištění – pokud alespoň jedno posuzované hledisko klasifikováno jako „nesplněno“ pak je celkový výsledek zkoušky také klasifikován výrokem „nesplňuje“ Účinnost od 13.března 2007

22.2.2008

[email protected]

http://www.relsie.cz/

Best practises Normy: •

Systémové inženýrství - Procesy životního cyklu systému

ČSN ISO/IEC 15288

•

Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací

ČSN ISO/IEC 27001, ČSN ISO/IEC 17799

•

Informační technologie - Management služeb

ČSN ISO/IEC 20000 22.2.2008

[email protected]

http://www.relsie.cz/

Ing.Martin Dudek ředitel Atestačního střediska pro ISVS [email protected] www.relsie.cz tel. +420 257 212 115 tel. +420 724 344 537

Děkuji za pozornost.