STUDIJNÍ TEXTY KE ZVLÁŠTNÍ ČÁSTI ÚŘEDNICKÉ ZKOUŠKY OBOR SLUŽBY Č. 36 INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

STUDIJNÍ TEXTY KE ZVLÁŠTNÍ ČÁSTI ÚŘEDNICKÉ ZKOUŠKY OBOR SLUŽBY Č. 36 INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

Zpracoval: Ministerstvo vnitra sekce informačních a komunikačních technologií

Studijní texty k odborné části úřednické zkoušky Obor služby 36 - Informační a komunikační technologie

Obsah: Kybernetická bezpečnost v oblasti informací a její zabezpečení ve státní a veřejné správě.

3

2

Český Podací Ověřovací Informační Národní Terminál.

7

3

Legislativní úprava práva na informace. Definujte pojem otevřená data a jejich přínos. Co je Národní katalog otevřených dat?

9

1

4

Informační systém o informačních systémech veřejné správy.

12

5

Základní registry veřejné správy.

14

6

Informační systémy veřejné správy, využívání expertních systémů ve veřejné správě.

16

7

Etické zásady a právní normy v oblasti informatiky.

18

8

Povinnosti správce a zpracovatele při zpracování osobních údajů, ochrana práv subjektů údajů, výkon dohledu a kontroly nad dodržováním zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. 20

9

Vysvětlete pojmy: osobní údaj, citlivý údaj, anonymní údaj, subjekt, shromažďování osobních údajů, uchovávání osobních údajů, likvidace osobních údajů, správce, zpracovatel, zveřejněný osobní údaj. 22

10

Datový sklad a in-memory computing.

11

Utajované informace, informační systémy nakládající s utajovanými informacemi, základní druhy zabezpečené komunikace, základní druhy a způsoby ochrany dat.26

12

Kybernetická kriminalita a možnosti ochrany.

28

13

Elektronický podpis a druhy certifikátů.

30

14

Kvalifikované časové razítko a jeho praktické využití.

33

15

Informační a komunikační technologie, jejich význam a uplatnění v praxi.

35

16

Základní požadavky na funkci informačního systému.

36

17

Integrita a její důležitost v systému bezpečnosti informačního systému.

38

18

Radiokomunikační systém PEGAS jako komunikační prostředek základních složek Integrovaného záchranného systému.

40

19

Elektronická spisová služba.

41

20

Informační systém datových schránek (ISDS).

43

24

Str. 2


Kybernetická bezpečnost v oblasti informací a její zabezpečení ve státní a veřejné správě.

1

Upřesnění:  Čím je zajištěna Kybernetická bezpečnost v oblasti bezpečnosti informací a její zabezpečení ve státní a veřejné správě. 1  Co rozumí zákon o kybernetické bezpečnosti pod pojmem bezpečnostní opatření? Bezpečnost informací – 3 základní atributy: 

DŮVĚRNOST - vlastnost, že informace není dostupná nebo není odhalena neoprávněným jednotlivcům, entitám (tj. včetně jiných systémů) nebo procesům,



INTEGRITA - všeobecně znamená platnost informace, tj. jejich přesnost a úplnost, jistota, že informace nebyly neoprávněně změněny - jsou důvěryhodné,



DOSTUPNOST - vlastnost přístupnosti a použitelnosti informací (a s nimi spojených informačních služeb) na žádost oprávněné entity, tj. odkud je třeba, kdy je třeba, jakou formou je třeba.

Kybernetickou bezpečností rozumíme souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru, jinak též zajištění bezpečnosti informací v kybernetickém prostoru. Míra kybernetické bezpečnosti je dána stupněm zabezpečení (omezení), zranitelností ICT infrastruktury (např. informační služba, komunikační systém,.. ) před možnými kybernetickými hrozbami, tj. odolností jednotlivých prvků kyberprostoru, proti neúmyslným (chybám) i úmyslným činnostem a vlivům. Kybernetický prostor, tj. digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené 2 informačními systémy, a službami a sítěmi elektronických komunikací .Kybernetickým rizikem je myšlena možnost (s určitou pravděpodobností), že určitá hrozba využije některou zranitelnost vybrané ICT služby nebo komponentu (prostředku) ICT infrastruktury a způsobí organizaci škodu. Organizace kybernetické bezpečnosti v České republice Bezpečnost musí zajišťovat každá organizace. Pro některé případy jsou stanoveny zvláštní podmínky. Tyto podmínky definují např. následující dokumenty: 

zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů,



nařízení vlády č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury,



vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti),



vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích zveřejněných dne 19. 12. 2014 ve Sbírce zákonů ČR, částka 127,



provozní dokumentace ISZR (základní registry) a ISDS (datové schránky),



zákon č. 101/2000 Sb., o ochraně osobních údajů,



zákon č. 365/2000 Sb., o informačních systémech veřejné správy.

Národní autoritou pro oblast kybernetické bezpečnosti, tj. gestorem problematiky kybernetické 3 bezpečnosti je Národní bezpečnostní úřad (NBÚ). Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako 4 součást Národního bezpečnostního úřadu, se sídlem v Brně. NCKB plní zároveň roli vládního CERT (GovCERT.CZ), tj. představuje vládní koordinační místo pro okamžitou reakci na kybernetické bezpečnostní incidenty. 1)

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=82522&nr=181~2F2014&rpp=15#local-content

2)

Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.

3)

Usnesení vlády České republiky č. 781 z 19.10.2011.

4)

Computer Emergency Response Team

Str. 3


Souběžně bylo ze strany NBÚ podle zákona vybráno za provozovatele národního CERT (CSIRT.CZ) zájmové sdružení právnických osob CZ.NIC. Poznámka: Rozdíl mezi vládním a národním CERT je definován zákonem o kybernetické bezpečnosti. Zjednodušeně lze říci, že vládní CERT je určen pro řešení bezpečnostních incidentů v počítačových sítích státní správy, kritické informační infrastruktury a významných informačních systémů dle zákona o kybernetické bezpečnosti. Národní CERT je bezpečnostní tým pro koordinaci řešení ostatních bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Problematiku zajištění kybernetické bezpečnosti České republiky, včetně úloh jednotlivým subjektům (i organizací veřejné správy), specifikuje dokument Národní strategie kybernetické bezpečnosti ČR na období 2015 až 2020 a dále ji rozpracovává dokument Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020, jenž byl schválen vládou České republiky dne 25. 05. 2015 usnesením č. 382. 1

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, stanoví povinnosti provozovatelům: 

kritické informační infrastruktury (KII) – prvek nebo systém prvků kritické infrastruktury 2) v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti,



významných informačních systémů (VIS) – informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci,



významných sítí – síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.

Ve smyslu zákona č. 181/2014 Sb., se rozumí: 

správcem informačního systému je orgán nebo osoba, které určují účel zpracování informací a podmínky provozování informačního systému,



správcem komunikačního systému je orgán nebo osoba, které určují účel komunikačního systému a podmínky jeho provozování,



významnou sítí je síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.



bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických 1) komunikací v kybernetickém prostoru.

3)

Zajištění shody se zákonem č. 181/2014 Sb. dosáhne organizace tím, že pro systémy zařazené do kritické informační struktury státu a pro systémy zařazené mezi významné informační systémy: 

zavádí a provádí bezpečnostní opatření



vede o nich bezpečnostní dokumentaci.

Bezpečnostními opatřeními dle zákona 181/2014 Sb. jsou: a) organizační opatření b) technická opatření. Organizačními opatřeními jsou:

1)



systém řízení bezpečnosti informací,



řízení rizik,



bezpečnostní politika,



organizační bezpečnost,



stanovení bezpečnostních požadavků pro dodavatele,



řízení aktiv,

http://www.govcert.cz/download/nodeid-686/

Str. 4




bezpečnost lidských zdrojů,



řízení provozu a komunikací kritické informační infrastruktury nebo významného informačního systému,



řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému,



akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů,



zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,



řízení kontinuity činností



kontrola a audit kritické informační infrastruktury.

Technickými opatřeními jsou: 

fyzická bezpečnost,



nástroj pro ochranu integrity komunikačních sítí,



nástroj pro ověřování identity uživatelů,



nástroj pro řízení přístupových oprávnění,



nástroj pro ochranu před škodlivým kódem,



nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů,



nástroj pro detekci kybernetických bezpečnostních událostí,



nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí,



aplikační bezpečnost,



kryptografické prostředky,



nástroj pro zajišťování úrovně dostupnosti informací



bezpečnost průmyslových a řídicích systémů.

K povinnostem provozovatele systému zařazeného do kritické informační infrastruktury anebo mezi významné informační systémy platí i povinnosti: 

detekovat kybernetické bezpečnostní události,



vést evidenci kybernetických bezpečnostních incidentů, která obsahuje: - hlášení kybernetického bezpečnostního incidentu, - identifikační údaje systému, ve kterém se kybernetický bezpečnostní incident vyskytl, - údaje o zdroji kybernetického bezpečnostního incidentu - postup při řešení kybernetického bezpečnostního incidentu (tzn., jaké bylo použito reaktivní opatření) a jeho výsledek.



Národnímu centru kybernetické bezpečnosti hlásit: - detekované kybernetické bezpečnostní incidenty a to včetně oznamování o provedených reaktivních opatření, - kontaktní údaje, tj. kontakty na osoby určené do klíčových bezpečnostních rolí (manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti).

Usnesení vlády č. 982 ze dne 18. 12. 2013 stanoví pro státní správu povinnosti: 

vyžadovat podporu technologie DNSSEC při nákupu všech relevantních služeb,



zpřístupnit prostřednictvím internetového protokolu verze 6 (IPv6) elektronické podatelny,



zabezpečit všechny domény prostřednictvím technologie DNSSEC,



zahrnout požadavek na podporu IPv6 do všech relevantních výběrových řízení, a to jak na dodávky služeb, tak zboží (hardware), i jako nedílnou součást požadavků na všechny nově Str. 5


podpořené projekty a jejich součásti financované ze strukturálních fondů v tomto i nadcházejícím finančním období.

Str. 6


2

Český Podací Ověřovací Informační Národní Terminál.

Upřesnění:    

1

Co jsou „Kontaktní místa veřejné správy “? Jaký mají účel, jakou vykonávají činnost? Kde se zřizují? Kdo je provozuje a jaké služby pro jaký okruh klientů nabízejí?

Český Podací Ověřovací Informační Národní Terminál, tedy Czech POINT je projektem, jehož cílem je zredukovat přílišnou byrokracii ve vztahu občan – veřejná správa. V současnosti musí občan často navštívit několik úřadů k vyřízení jednoho problému. Czech POINT slouží jako asistované místo výkonu veřejné správy, umožňující komunikaci se státem prostřednictvím jednoho místa tak, aby „obíhala data ne občan“. Jedná se o zrušení místní i věcné příslušnosti (alespoň z pohledu občana) pro vybrané výpisy, služby a podání. Cíl Cílem projektu Czech POINT je vytvořit garantovanou službu pro komunikaci se státem prostřednictvím jednoho universálního místa, kde je možné získat a ověřit data z veřejných i neveřejných informačních systémů, úředně ověřit dokumenty a listiny, převést písemné dokumenty do elektronické podoby a naopak, získat informace o průběhu správních řízení ve vztahu k občanovi a podat podání pro zahájení řízení správních orgánů. Jde tedy o maximální využití údajů ve vlastnictví státu tak, aby byly minimalizovány požadavky na občany. Czech POINT nabízí velké množství služeb, které jsou orientovány nejen na občana ČR jako fyzickou osobu, ale i pro právnické osoby, cizince a úředníky. Poskytuje ověřené výstupy z informačních systémů veřejné správy, ale i z ostatních registrů veřejné správy, které jsou veřejnými evidencemi. Existují 3 druhy Czech POINTů: 1.

Kontaktní místo veřejné správy – Czech POINT, tzv. kiosek, kde asistovaným způsobem poskytuje občanům:  výpis z Katastru nemovitostí,  výpis z Obchodního rejstříku,  výpis z Živnostenského rejstříku,  výpis z Rejstříku trestů,  výpis z Rejstříku trestů právnické osoby,  přijetí podání podle živnostenského zákona (§ 72),  výpis z bodového hodnocení řidiče,  vydání ověřeného výstupu ze Seznamu kvalifikovaných dodavatelů,  podání do registru účastníků provozu modulu autovraků ISOH,  výpis z insolvenčního rejstříku,  zřízení Datové schránky, její znepřístupnění, zneplatnění přístupových údajů,  autorizovaná konverze dokumentů,  centrální úložiště ověřovacích doložek (ověření autorizované konverze),  výpisy údajů, využití údajů a žádosti o změny ze Základních registrů,  výpis z Veřejných rejstříků (spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, rejstřík obecně prospěšných společností). Kontaktní místa veřejné správy (kiosky Czech POINT) se zřizují na obcích (krajské, obecní, matriční úřady), na zastupitelských úřadech, na pracovištích Hospodářské komory, pracovištích České pošty, s. p., u notářů a v bankách (na základě předešlé autorizace Ministerstvem vnitra).

2.

1)

Prostředí pro úředníky – CzechPOINT@office, tj. prostředí, které je určeno pro vnitřní potřebu orgánům veřejné moci k využívání služeb:  výpis a opis z rejstříku trestů z moci úřední,  autorizovaná konverze z moci úřední,

http://www.czechpoint.cz/web/

Str. 7


 3.

agendy matriky, ohlašovny a soudy (hlášení změn do evidence obyvatel).

Online formuláře pro veřejnost – CzechPOINT@home, tj. internetové kontaktní místo, které naleznete na Portálu veřejné správy, a které umožňuje držitelům datových schránek přístupy k následujícím výpisům a žádostem:  výpis z Živnostenského rejstříku  výpis z Veřejného rejstříku  výpis bodového hodnocení řidiče  výpis z Insolvenčního rejstříku  výpis z Rejstříku trestů právnických osob  výpis ze Seznamu kvalifikovaných dodavatelů  výpisy údajů, využití údajů a žádosti o změny ze Základních registrů  poskytnutí a odvolání poskytnutí údajů ze Základních registrů třetí osobě.

Zřídit kontaktní místo veřejné správy – (Czech POINT) si mohou: 

1

územně samosprávné celky ,



zastupitelské úřady ,



pracoviště Hospodářské komory ČR,



pracoviště České pošty, s. p.,



Notářská komora ČR,



osoba autorizovaná ministerstvem (banky).

2

Zřídit Czech POINT@office si mohou: 

územně samosprávné celky,



orgány veřejné moci,



notáři, exekutoři, advokáti.

1)

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=69492&name=o~20kontaktn~C3~ADch~20m~C3~ADstech~20ve~C 5~99ejn~C3~A9~20spr~C3~A1vy&rpp=15#local-content 2)

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=69492&name=o~20kontaktn~C3~ADch~20m~C3~ADstech~20ve~C 5~99ejn~C3~A9~20spr~C3~A1vy&rpp=15#local-content

Str. 8


3 Legislativní úprava práva na informace. Definujte pojem otevřená data a jejich přínos. Co je Národní katalog otevřených dat? Upřesnění:       

1

Povinné subjekty, omezení práva na informace ? Kdo musí informace poskytnout? Jakým způsobem mohou být informace poskytovány? Jaké informace být poskytnuty nemusí nebo nesmějí? Co jsou otevřená data? Vyjmenujte některé z přínosů otevřených dat pro veřejnost, pro ekonomiku a pro veřejnou správu? 2 K čemu slouží národní katalog otevřených dat ?

Poskytování a zveřejňování informací a dat je zakotveno především zákonem č. 106/1999 Sb., o svobodném přístupu k informacím, ale některá dílčí data, informace a dokumenty jsou zveřejňovány podle specifických zákonů (např. výroční zpráva dle zákona č. 101/2000 nebo ARES dle zákona č. 304/2013). Povinnými subjekty, které mají povinnost poskytovat informace vztahující se k jejich působnosti, jsou: 

státní orgány, územní samosprávné celky a jejich orgány a veřejné instituce,



subjekty, kterým zákon svěřil rozhodování o právech, právem chráněných zájmech nebo povinnostech fyzických nebo právnických osob v oblasti veřejné správy, a to pouze v rozsahu této jejich rozhodovací činnosti.

Povinné subjekty jsou povinny zveřejnit:  základní údaje (identifikace, adresy ad.),  výroční zprávu za kalendářní rok o činnosti v oblasti poskytování informací,  do 15 dnů informace poskytnuté na žádost (v některých případech jen vyjádřit obsah poskytnutých informací) na internetu,  výhradní licence, sazebníky apod. Povinný subjekt může proaktivně zveřejnit jakékoli informace, pokud jsou v souladu se zákonem o svobodném přístupu k informacím a zveřejnění nebrání žádný zvláštní právní předpis. Způsoby poskytnutí informací jsou:

a)

b) 1) 2)

poskytnutí na základě žádosti  žádost může podat fyzická i právnická osoba (i jiné povinné osoby) a to ústně nebo písemně (vč. elektronických způsobů),  žádost musí obsahovat (jinak se do 7 dnů vyzve k doplnění): komu je adresována že se jedná o žádost podle zák. č. 106/1999 Sb., kdo ji podává (jméno, datum narození a adresa pro FO nebo název, IČ a adresu pro PO),  elektronická žádost musí směřovat na podatelnu povinného subjektu,  do 7 dnů může být žadatel požádán o doplnění žádosti, pokud je nesrozumitelná, příliš obecná nebo nejasná,  odpověď na žádost se musí poskytnout do 15 dnů od jejího přijetí, ojediněle lze prodloužit o dalších 10 dní,  informace jsou poskytnuty ve formátu a jazyce, který byl uvedený v žádosti, pokud jej má povinný subjekt k dispozici (formát ani jazyk nemusí být měněny jen kvůli žádosti),  pokud by poskytnutí informací mělo představovat nepřiměřenou zátěž, může být poskytnutí zpoplatněno, poskytování zveřejněním https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=47807&nr=106~2F1999&rpp=15#local-content https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=47807&nr=106~2F1999&rpp=15#local-content

Str. 9


    

zveřejněním se poskytují i otevřená data, musí být v otevřeném formátu (nezávislý na konkrétním SW vybavení, tedy raději CSV než Excel), pokud je to možné být ve strojově čitelném formátu (tedy raději Word než naskenované PDF), měla by být připojena i příslušná metadata a otevřená licence, zveřejnění se ve všech formátech a jazycích, ve kterých vznikla.

Poskytnout se nesmí informace:  označené jako utajované,  zasahující do osobnostních práv vymezených zákonem č. 101/2000 Sb., o ochraně osobních údajů, přičemž je třeba brát zřetel na judikaturu vymezující informace, kde veřejný zájem na jejich zveřejnění převyšuje zájem na ochranu osobnosti (např. platy některých zaměstnanců),  chráněné obchodním tajemstvím,  o majetkových poměrech třetích osob (např. získané dle zákona o daních),  vzniklé bez použití veřejných prostředků osobou, jíž to zákon neukládá,  podléhající ochraně práv třetích osob k předmětu práva autorského,  která se týká stability finančního systému,  na které se vztahuje mlčenlivost (např. know-how zjištěné během kontrolní činnosti),  o probíhajícím trestním řízení, rozhodovací činnosti soudů s výjimkou rozsudků, plnění úkolů zpravodajských služeb ad.,  o údajích vedených v evidenci incidentů podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ze kterých bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila nebo jejichž poskytnutí by ohrozilo účinnost reaktivního nebo ochranného opatření podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Poskytnout se nemusí informace:  které již jsou zveřejněny, pokud byla žádost podána elektronicky, tehdy stačí odpovědět jen informací s odkazem na místo zveřejnění,  určené výlučně k vnitřním pokynům a personálním předpisům,  nové, které vznikly při přípravě odpovědi, poskytnuté NATO nebo EU, které není žádoucí zveřejnit. Co jsou to otevřená data? Otevřená data jsou informace veřejného sektoru zveřejněná na internetu, která jsou úplná, snadno dostupná, strojově čitelná, používající standardy s volně dostupnou specifikací, zpřístupněná za jasně definovaných podmínek užití dat s minimem omezení a dostupná uživatelům při vynaložení minima 1 možných nákladů. Standardy publikace a katalogizace otevřených dat udržuje Ministerstvo vnitra a měly by být zohledněny při každém záměru otevírání dat. Přínosy otevřených dat



1

Pro ekonomiku o Nové ekonomické příležitosti a další zdroj pracovních nabídek a nových služeb – lze je využít třeba v dopravě, logistice, zdravotnictví, bankovnictví, … o Data - neomezená a opakovaně využitelná „surovina“ pro další zpracování, vytváření aplikací, generují přidanou hodnotu, zisk a nová pracovní místa. o Posílení transparentnosti - lepší dostupnost a přístup k informacím o fungování institucí veřejné správy. o Zefektivnění veřejné správy a zlepšení kvality života - lepší informovanost veřejnosti o plánovaných změnách a akcích, růst důvěry mezi občanem a institucí.

http://opendata.gov.cz Str. 10


o



Kontrola veřejné správy - možnost větší a jednodušší kontroly hospodaření s veřejnými prostředky, srovnávání a posuzování nákladů institucí. o Zapojení občanů do rozhodování - kvalifikovanější zapojení občanů do fungování státu. o Datová žurnalistika - otevřená data jsou nezastupitelným zdrojem informací pro novináře a datové analytiky. Pro poskytovatele dat o Snížení počtu dotazů dle zák. č. 106/1999 Sb., - zveřejněním otevřených dat se může výrazně snížit počet žádostí dle zák. č. 106/1999 Sb., o svobodném přístupu k informacím. o Zlepšení vnímání veřejné správy veřejností a zapojení veřejnosti do zlepšování práce úřadů a veřejnosti - veřejný sektor prostřednictvím otevřených dat poskytuje informace veřejnosti o plánovaných změnách a akcích, z toho plynoucí větší důvěra mezi občanem a institucí. o Zlepšení procesů a dat veřejné správy, zlepšení komunikace a spolupráce VS publikace dat ve formátu otevřených dat může:  napomoci komunikaci mezi jednotlivými orgány veřejné správy,  nahradit někdy zbytečně složité předávání dat mezi jednotlivými institucemi. o Zlepšení služeb veřejné správy/zlepšení kvality života - jednodušší a přehledná komunikace s institucemi, nabídka zatím nedostupných informací a služeb. o Pořádek ve vlastních datech - analýza dat, katalogizace a publikace může umožnit instituci uspořádat svá vlastní data a optimalizovat tak vlastní interní procesy.

Co je to NKOD a jakou roli hraje při publikaci otevřených dat? 1

Národní katalog otevřených dat (NKOD) je informační systém veřejné správy přístupný způsobem umožňujícím dálkový přístup sloužící k evidování a katalogizaci informací zveřejňovaných jako otevřená data. NKOD je dostupný na portálu veřejné správy. Slouží uživateli pro snazší orientaci a vyhledávání v otevřených datech publikovaných veřejnou správou ČR z jednoho místa. Co je to vzorový publikační plán a kde se dá najít? Vzorový publikační plán vymezuje doporučené oblasti či doporučené datové sady k publikaci otevřených dat včetně typických rizik a přínosů. Zahrnuje také doporučené postupy, vzor pro interní předpisy a další návody. Dostupný je na adrese www.OpenDatagov.cz Co znamená pětihvězdičková struktura otevřených dat? Míru otevřenosti dat je možné vyjádřit pomocí 5 stupňů otevřenosti, které jsou znázorněny na následujícím obrázku (stupeň je vyjádřen počtem hvězdiček).

1



Stupeň 1 - datová sada je dostupná v síti WWW s vhodnými podmínkami užití otevřených dat. (např. PDF nebo DOCX)



Stupeň 2 - datová sada je poskytována ve strojově čitelném formátu, který umožňuje automatizované strojové zpracování. (např. XLS)



Stupeň 3 - datová sada je poskytována v otevřeném formátu, tj. ve formátu s volně dostupnou specifikací. (např. CSV, XML nebo XLSX)



Stupeň 4 - na identifikaci entit v datové sadě se používají IRI. (např. RDF)



Stupeň 5 - datová sada splňuje standard propojených dat. (LOD – linked open data)

http://data.gov.cz Str. 11


Informační systém o informačních systémech veřejné správy.

4

Upřesnění: K čemu slouží Informační systém o informačních systémech veřejné správy a jaký je jeho právní základ? Vysvětlete pojem „Agendový informační systém“. Vysvětlete pojem „Portál veřejné správy“, popište, k čemu slouží, kdo jej provozuje a kde se nachází. 1, 2, 3

Informační systém o informačních systémech veřejné správy (ISoISVS) je zřízen podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, a upřesněn vyhláškou č. 528/2006 Sb., o informačním systému o informačních systémech veřejné správy. Ministerstvo vnitra vytváří a spravuje ISoISVS, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (ISVS). Více na stránce: https://www.sluzby-isvs.cz/ISoISVS/Views/Public/Login.aspx?action=get Aplikace ISoISVS slouží ke sběru a poskytování informací o informačních systémech veřejné správy (ISVS). Jedná se o základní informace o ISVS a informace o dostupnosti ISVS. Cílem bylo vytvořit centrální evidenční informační systém o všech informačních systémech ve veřejné správě. Důvodem je nejen potřeba státu disponovat přehledem o jednotlivých informačních systémech, ale zejména takto získané informace využít k optimalizaci vynakládaných veřejných prostředků a efektivnímu rozhodování o implementaci jednotlivých informačních systémů a jejich možnému sdílenému využívání. Každý správce informačního systému veřejné správy musí zaevidovat (zaregistrovat) údaje o tomto systému do ISoISVS. Vyhláška č. 528/2006 Sb. obsahuje v příloze Seznam položek popisu informačního systému veřejné správy. Položky popisu jsou pověřenými osobami jednotlivých správců vyplňovány ve formuláři v ISoISVS. K zaevidování musí správce ISVS podepsat záznam svým elektronickým podpisem. Dojde-li ke zveřejnění příslušného záznamu, je mu systémově přidělen číselný identifikátor. Zveřejněné záznamy jsou v systému kompletně přístupné komukoliv, tj. pro jejich prohlížení není potřebná registrace v systému. Aplikace nabízí vyhledávání ve zveřejněných záznamech o ISVS podle zadaných vyhledávacích podmínek (např. podle správce ISVS). K 30. 3. 2016 obsahoval ISoISVS celkem 6.955 ISVS, jejichž celkové náklady byly 141 mld. Kč a roční provozní náklady byly 25,3 mld. Kč. Kompletní přehled zveřejněných ISVS je denně dodáván Správě základních registrů (SZR). SZR pak údaje využívá jako podklad pro vydávání certifikátů žadatelům – orgánům veřejné moci (OVM). Registrace v ISoISVS je v současnosti základní podmínkou, kterou musí správce informačního systému veřejné správy splnit, aby mohl SZR požádat o umožnění přístupu k referenčním údajům v základních registrech. Agendový informační systém je ve smyslu zákona č.111/2009 Sb., o základních registrech „Informační systém veřejné správy, který slouží k výkonu agendy.“ Definice dle zákona o základních registrech (ZZR): § 2 písm. e) „Informační systém veřejné správy, který slouží k výkonu agendy.“ Portál veřejné správy Portálem veřejné správy - https://portal.gov.cz/portal/obcan/, je informační systém veřejné správy zajišťující státem garantovaný přístup k informacím státních orgánů, orgánů územních samosprávných celků a orgánů veřejné moci, které nejsou státními orgány ani orgány územních samosprávných celků, (dále jen „veřejný orgán“) a komunikaci s veřejnými orgány. Správcem Portálu veřejné správy je Ministerstvo vnitra. Portál veřejné správy zajišťuje přístup k informacím získaným na základě informační činnosti [§ 2 písm. a)] veřejných orgánů zejména v oblasti sociálního zabezpečení, zdravotnického zabezpečení, správy veřejných financí, dotací, veřejných zakázek, státní statistické služby, evidence a identifikace 1) 2) 3)

https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=49763&nr=365~2F2000&rpp=15#local-content http://www.mvcr.cz/clanek/vyhlaska-c-528-2006-sb-o-informacnim-systemu-o-informacnich-systemech-verejne-spravy.aspx https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=68500&nr=111~2F2009&rpp=15#local-content

Str. 12


osob, jejich součástí a práv a povinností těchto osob či jejich součástí a tvorby a publikace právních předpisů. Portál veřejné správy poskytuje následující funkce a aplikace: 

Národní katalog otevřených dat,



CzechPOINT@home



seznam držitelů datových schránek,



vyhledávání v zákonech,



povinně zveřejňované informace,



životní situace,



rejstříková data (např. zveřejněné smlouvy),



věstníky.

Str. 13


Základní registry veřejné správy.

5

Upřesnění:  Jaké základní registry tvoří „Informační systém základních registrů?  Vysvětlete pojem „Referenční údaj“ a uveďte příklady.  Uveďte, kde je možné najít referenční údaje o výčtu, souhrnných označeních a o všech působnostech orgánů veřejné moci ve veřejné správě v ČR.  Vysvětlete pojem „Matice rolí a oprávnění“, z čeho se tvoří a jaký má význam pro bezpečnost základních registrů.  Vysvětlete pojem a popište účel „Agendového informačního systému“ ve smyslu zákona č. 1 111/Sb., o základních registrech . Základní registry veřejné správy jsou vytvořeny a spravovány podle zákona č. 111/2009 Sb., o základních registrech. Základní registry jsou: 

Registr obyvatel (ROB) spravovaný Ministerstvem vnitra,



Registr osob (ROS, celým názvem Registr právnických osob, podnikajících fyzických osob a orgánů veřejné moci) spravovaný Českým statistickým úřadem,



Registr územní identifikace, adres a nemovitostí (RÚIAN) spravovaný Českým úřadem zeměměřičským a katastrálním,



Registr práv a povinností (RPP, celým názvem Registr agend orgánů veřejné moci a některých práv a povinností).

Dalšími částmi základních registrů jsou: 

Informační systém základních registrů (ISZR) spravovaný Správou základních registrů (zřízená Ministerstvem vnitra). o ISZR je jediným přístupovým rozhraním k základním registrům a vykonává:



publikuje služby základních registrů (eGON služby),

ověřuje oprávnění pro přístup do základních registrů,

zaznamenává a ukládá všechny logy do základních registrů.

Informační systém ORG spravovaný Úřadem pro ochranu osobních údajů (ÚOOÚ). Základním smyslem ORG je podporovat v systému základních registrů ochranu osobních údajů, a to cestou náhrady dosavadního používání rodného čísla jako univerzálního identifikátoru fyzické osoby systémem bezvýznamových identifikátorů. Tyto identifikátory se budou pro jednotlivé agendy nebo skupiny agend lišit, a neumožní tak při znalosti jednoho identifikátoru vyhledávat údaje o fyzické osobě v agendě jiné. Jediným místem, kde budou všechny tyto identifikátory uloženy, je právě systém ORG. V tomto systému však nejsou uloženy žádné další údaje fyzických osob, takže ani znalost všech identifikátorů neumožňuje ÚOOÚ (ani nikomu jinému) zjistit jejich přiřazení jednotlivým fyzickým osobám. Co převodník ORG vykonává: o přiděluje zdrojové identifikátory fyzických osob (ZIFO), o generuje agendové identifikátory fyzických osoby (AIFO) pro cílové agendy, o zajišťuje převody agendových identifikátorů fyzických osob v systému základních registrů, tzn., převádí AIFO jedné agendy na AIFO druhé agendy, o převod mezi AIFO jedné agendy na AIFO jiné agendy dokáže jako jediný v celém systému základních registrů, o mimo ZIFO a AIFO neobsahuje ORG žádné jiné osobní údaje, o Informační systém ORG komunikuje výhradně a pouze jen s informačním systémem základních registrů (ISZR).

1)


Str. 14


Referenční údaj Definice dle ZZR: § 2 písm. b) „údaj vedený v základním registru, který je označen jako referenční údaj.“ Výklad: Státem garantovaný správný údaj obsažený v příslušném základním registru, který orgán veřejné moci využívá při své činnosti a to, aniž by ověřoval jejich správnost. Od osob, po kterých je jiným právním předpisem doložení takových údajů požadováno, je orgán veřejné moci oprávněn požadovat poskytnutí takových údajů pouze, pokud nejsou v základním registru obsaženy, nebo jsou označeny jako nesprávné, nebo vznikne oprávněná pochybnost o správnosti referenčního údaje, nebo jsou nezbytné pro bezpečnostní řízení podle jiného právního předpisu. Příkladem referenčního údaje v ROB, je např. příjmení, jméno, adresa místa pobytu a další údaje. Portál veřejné správy Portál veřejné správy (PVS) je informační systémem veřejné správy, který je branou do českého eGovernmentu. Je vytvořený a provozovaný se záměrem usnadnit veřejnosti prostřednictvím dálkového přístupu potřebné informace z veřejné správy. Tyto data jsou garantovány státem. Zajišťuje přístup k informacím o fyzických a právnických osobách, zejména k formulářům v elektronické podobě těchto osob. Správce PVS je Ministerstvo vnitra. PVS je umístěn na internetové adrese portal.gov.cz nebo www.gov.cz. Matice rolí a oprávnění Matice rolí a oprávnění je součást RPP. Matice rolí a oprávnění obsahuje role jednotlivých OVM a jejich oprávnění ke konkrétním údajům v základních registrech. Bezpečnostním cílem je umožnit oprávněné osobě přístup k údajům a současně zabránit neoprávněné osobě přístupu k údajům. Agendový informační systém (AIS) je informační systém veřejné správy, který slouží k výkonu agendy. Pouze prostřednictvím AIS je možné přistupovat k základním registrům. Orgány, které neprovozují vlastní AIS, mohou využívat CzechPOINT@office.

Str. 15


6

Informační systémy veřejné správy, využívání expertních systémů ve veřejné správě.

Upřesnění:  Co jsou informační systémy veřejné správy?  Jaké základní dokumenty, vyplývající ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy, musí mít zpracován každý správce ISVS?  Na jak dlouhou dobu se zpracovávají a jaký je jejich základní obsah a význam?  Co jsou expertní systémy?  Jaké je využití expertních systémů ve veřejné správě? Informační systém veřejné správy (ISVS) je definován zákonem č. 365/2000 Sb., jako soubor informačních systémů, které slouží pro výkon veřejné správy a jsou jimi i informační systémy zajišťující činnosti podle zvláštních zákonů. Povinnosti dle zákona se nevztahují na vyjmenované druhy ISVS (např. policejní, zpravodajských sužeb, obsahující utajované informace apod.) Mezi ISVS nepatří ani provozní IS. Správcem ISVS je vždy orgán veřejné správy. Správci ISVS jsou povinni vytvořit a uplatňovat informační koncepci ve smyslu vyhlášky č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Tuto informační koncepci jsou správci povinni atestovat. Atest mohou vydávat jen subjekty akreditované Ministerstvem vnitra. Platnost atestu smí být nejvýše 5 let, nicméně informační koncepce musí být minimálně jednou za 24 měsíců vyhodnocována. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. Obsah a strukturu informační koncepce, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy stanoví vyhláška. Informační koncepce se skládá z dokumentů, jejichž obsah je definován vyhláškou: 



Informační koncepce obsahující především: o

charakteristiku každého ISVS, stručnou charakteristiku jeho současného stavu a předpokládané změny v tomto systému

o

záměry na pořízení nebo vytvoření nových ISVS

o

dlouhodobé cíle v oblasti řízení kvality ISVS, požadavky na kvalitu a plán řízení kvality

o

dlouhodobé cíle v oblasti řízení bezpečnosti ISVS, požadavky na bezpečnost a plán řízení bezpečnosti

o

soubor základních pravidel pro: 

pořizování a vytváření ISVS,



provozování ISVS včetně jejich změn a rozvoje.

Provozní dokumentace jednotlivých ISVS zahrnující především: o

o

o

Bezpečnostní dokumentace ISVS 

bezpečnostní politika ISVS,



bezpečnostní směrnice pro činnost bezpečnostního správce systému.

Systémová příručka 

popis funkcí, včetně bezpečnostních, které používá správce systému pro provádění určených činností v ISVS, a návod na použití těchto funkcí,



parametry kvality,



podrobný popis ISVS,



popis jednotlivých činností vykonávaných při správě ISVS,



definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při využívání ISVS.

Uživatelská příručka

Str. 16




popis funkcí, včetně bezpečnostních, které používá uživatel pro svou činnost v ISVS, a návod na použití těchto funkcí,



vymezení oprávnění a povinností uživatelů ve vztahu k ISVS.

Expertní systémy představují třídu počítačových programů, které mohou poradit, analyzovat, klasifikovat, sdělit, konzultovat, navrhovat, diagnostikovat, vysvětlit, hledat, předpovídat, formovat návrhy, identifikovat, interpretovat, formovat, učit, organizovat, monitorovat, plánovat, prezentovat, vydolovat, stanovovat, testovat a vést. Jsou určeny pro takové problémy, které pro své uspokojivé 1 řešení vyžadují experta z daného oboru. Expertní systém je tedy využitím umělé inteligence pro simulaci rozhodování experta. Charakteristické pro expertní systémy je oddělení znalostí (znalostní báze) od mechanismu jejich využívání (řídící modul). Expertní systémy se využívají při podpoře rozhodování v řadě oblastí, např.: 

medicína (diagnostika pacientů),



právo (poskytování právních rad a dílčích expertíz),



řízení lidských zdrojů (nasazení efektivních metod řízení),



plánování výroby (rozvrhování),



finanční služby (poskytování pojištění, vyhodnocování úvěrů).

V rámci veřejné správy ČR není využívání expertních systémů příliš rozšířeno, ale může se týkat např. oblastí:

1



plánování kontrolní činnosti (výběr vhodných osob či provozoven s vyšší pravděpodobností zjištění rozporu se zákonem na základě velkého objemu dat a charakteristik),



podpora řešení životních situací občanů,



vyhledávání daňových úniků.

Autor: Petr Olivka http://poli.cs.vsb.cz/edu/isy/down/expertsys.pdf Str. 17


7

Etické zásady a právní normy v oblasti informatiky.

Upřesnění:  Jaké předpisy stanovují etické zásady?  Jaké hlavní etické zásady musí státní zaměstnanec dodržovat?  Jaké jsou důležité právní normy dotýkající se informatiky? Etické zásady Zdroje etických zásad státního zaměstnance jsou: 

Zákon č. 234/2014 Sb., o státní službě, který:  stanoví práva a povinnosti státního zaměstnance jako např.: má-li státní zaměstnanec za to, že příkaz je v rozporu s právním předpisem nebo služebním předpisem, je povinen na to upozornit bezprostředně nadřízeného představeného, vyššího představeného, vedoucího služebního úřadu, příslušného člena vlády nebo vedoucího Úřadu vlády dříve, než tento příkaz začne plnit. Nedojde-li k nápravě, je státní zaměstnanec povinen na tento rozpor písemně upozornit, nesmí splnit příkaz, spáchal-li by jeho splněním trestný čin nebo správní delikt, vykonávat službu nestranně, v mezích svého oprávnění a zdržet se při výkonu služby všeho, co by mohlo ohrozit důvěru v jeho nestrannost, zachovávat mlčenlivost, zdržet se jednání, které by mohlo vést ke střetu veřejného zájmu se zájmy osobními, v souvislosti s výkonem služby nepřijímat dary nebo jiné výhody v hodnotě přesahující částku 300 Kč, zákaz vykonávat jinou výdělečnou činnost, která nespadá mezi vyjmenované výjimky nebo k jejímuž výkonu byl dán služebním úřadem souhlas, dodržovat pravidla etiky státního zaměstnance vydaná služebním předpisem. 1 o Etický kodex úředníků a zaměstnanců veřejné správy schválený v roce 2012 Vládou . 2 o Etický kodex zaměstnance Ministerstva vnitra .



Nařízení vlády č. 145/2015 Sb., o opatřeních souvisejících s oznamováním podezření ze 3 spáchání protiprávního jednaní ve služebním úřadu :  státní zaměstnanec nesmí být jakkoli postižen za využití práva oznámení podezření ze spáchání protiprávního jednání představeným nebo jiným zaměstnancem,  oznámení smí být podáno i anonymně,  každý úřad musí zřídit pozici Prošetřovatele, oznámení prošetřovateli je možné podat mailem, osobně nebo do povinně zřízené schránky,  totožnost oznamovatele je vždy utajena,  podezření musí být prošetřeno do 20, nanejvýše 40 dní,  pokud se podezření potvrdí, předá prošetřovatel podklady na orgány činné v trestním řízení.

Právní normy v oblasti informatiky: 

Zákon č. 137/2006 Sb., o veřejných zakázkách při každé veřejné zakázce je nutné dbát o to, aby stanovila takové podmínky, aby i budoucí zakázky mohly být v souladu se zákonem volně soutěženy.



Usnesení vlády č. 889/2015 každý záměr povinných subjektů vynakládat prostředky na IT ve výši alespoň 6 mil. Kč bez DPH ročně musí být schválen OHA MV.

1) 2) 3)

http://www.vlada.cz/assets/media-centrum/aktualne/Eticky_kodex_uredniku_a_zamestnancu_verejne_spravy.pdf http://www.mvcr.cz/soubor/eticky-kodex-zamestnance-mv.aspx https://portal.gov.cz/app/zakony/zakonPar.jsp?idBiblio=84261&nr=145~2F2015&rpp=15#local-content

Str. 18




Zákon č. 181/2014 Sb., o kybernetické bezpečnosti stanoví bezpečnostní opatření pro kritickou informační infrastrukturu a významné informační systémy.



Zákon č. 365/2000 Sb., o informačních systémech veřejné správy stanoví povinné dokumentace k ISVS (bezpečnostní dokumentaci a informační koncepci), ustanovuje PVS, CMS a Czech POINTy.



Zákon č. 111/2009 Sb., o základních registrech stanoví podmínky využívání sdíleného datového fondu.



Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů stanoví povinnosti v souvislosti s datovými schránkami a konverzí dokumentů.



Zákon č. 106/1999 Sb., o svobodném přístupu k informacím stanoví povinnosti v souvislosti s poskytováním informací a podmínky publikování otevřených dat.



Zákon č. 101/2000 Sb., o ochraně osobních údajů stanoví podmínky ochrany spravovaných osobních údajů a nakládání s nimi.



Zákon č. 4999/2004 Sb., o archivnictví a spisové službě stanoví povinnost vést elektronickou spisovou službu a podrobnosti archivace dokumentů.



1

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (Nařízení eIDAS) a zákon o elektronickém podpisu stanoví podmínky a způsoby elektronické autentizace osob.



1)

Zákon č. 227/2000 Sb., o elektronickém podpisu.

http://www.mvcr.cz/clanek/narizeni-evropskeho-parlamentu-a-rady.aspx

Str. 19


8

Povinnosti správce a zpracovatele při zpracování osobních údajů, ochrana práv subjektů údajů, výkon dohledu a kontroly nad dodržováním zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

Upřesnění:  Co je osobní údaj a jeho zpracování?  Jaké jsou zásady ochrany osobních údajů?  Kdo provádí dozor nad ochranou osobních údajů?  Jaké jsou povinnosti správců osobních údajů? 1

Ve smyslu zákona č. 101/2000 Sb., se rozumí : 

osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,



anonymním údajem takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů, anonymizace je

mnohdy podmínkou pro zveřejnění některých údajů, 

subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,



zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,



správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,



zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu, např. otevřená data. Nelze zveřejnit osobní údaje, pokud k tomu není zákonné zmocnění nebo není dostatečně významný veřejný zájem na zveřejnění.

Zásady ochrany osobních údajů: 1.

Pro požadování osobních údajů, musí být k jejich využití souhlas nebo ke shromažďování osobních údajů musí opravňovat zákon.

2.

Osobních údaje mohou být dále využívány jen na základě podepsaných a odsouhlasených podmínek (vyjma případů kdy podmínky stanovuje zákonné oprávnění).

3.

Souhlas s poskytnutím osobních údajů musí být vědomý, svobodný a informovaný.

4.

Každý má právo vědět, jaké osobní údaje o něm dotčený subjekt shromažďuje a má právo požadovat jejich blokování, opravu, doplnění či výmaz.

5.

Osobní údaje smí být uchovávány pouze po dobu, která je nezbytně nutná pro naplnění účelu jejich zpracování.

6.

Je zakázáno pořizovat jakýmikoliv prostředky kopie osobních dokladů (občanský průkaz, cestovní doklad) bez souhlasu, vyjma zákonem stanovených případů (zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu).

7.

Pro evidenci vstupu do budov nesmí být vyžadováno rodné číslo, plně dostačující je jméno a příjmení, případně číslo občanského průkazu (v případě pracovního jednání služeb. průkazu).

8.

Osobní údaje, které mohly být uloženy na nějaké záznamovém zařízení (např. počítačový pevný disk), musí být před případným prodejem důkladně smazány pomocí zvláštních programových

1)


Str. 20


prostředků. Běžné přeinstalování či jednoduché smazání není dostatečnou zárukou zničení uložených údajů. 9.

Buďte opatrní při zasílání osobních údajů pomocí elektronických prostředků. Mějte vždy na paměti, že komunikační kanály mohou být „odposlouchávány“ neoprávněnou osobou. Pokud již musíte takovou formu přenosu použít, využívejte v co největší míře standardní prostředky šifrování nebo certifikace (ssl protokoly, podpisové certifikáty nebo jednorázová zabezpečovací hesla).

10. Vždy musíte být upozorněni, ve většině případů alespoň nástěnným piktogramem, že se pohybujete v prostoru sledovaném kamerovými systémy. Kamerové sledování je nepřípustné v prostorách určených pro ryze intimní úkony (např. toalety, koupelny, prostory vyhrazené k převlékání apod.). Dohled a kontrola nad dodržováním ochrany osobních údajů jsou vykonávány Úřadem pro ochranu osobních údajů. Správce osobních údajů je povinen: 

stanovit účel, k němuž mají být osobní údaje zpracovány,



stanovit prostředky a způsob zpracování osobních údajů,



zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům,



shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,



uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, a osobní údaje anonymizovat, jakmile je to možné,



zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem souhlas,



shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti,



nesdružovat osobní údaje, které byly získány k rozdílným účelům.

Str. 21


9

Vysvětlete pojmy: osobní údaj, citlivý údaj, anonymní údaj, subjekt, shromažďování osobních údajů, uchovávání osobních údajů, likvidace osobních údajů, správce, zpracovatel, zveřejněný osobní údaj.

Upřesnění:  Jak se ochrana osobních údajů promítá do využití cloudu?  Jaké jsou podmínky využití cookies na webových stránkách? 1

Ve smyslu zákona č. 101/2000 Sb., se rozumí : 

osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,



citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů,



anonymním údajem takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů, anonymizace je

mnohdy podmínkou pro zveřejnění některých údajů,

1)



subjektem osobních údajů fyzická osoba, k níž se osobní údaje vztahují,



zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,



shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,



uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,



blokováním osobních údajů operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů,



likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,



správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,



zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,



zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu,



evidencí nebo datovým souborem osobních údajů (datový soubor) jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,



souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,



příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).


Str. 22


Cloud computing – principem cloud computingu je sdílení hardwaru a softwaru prostřednictvím sítě. Jde o službu, která přináší řadu ekonomických a technologických výhod. Představuje však také možné riziko z hlediska ochrany osobních údajů. Obecně toto riziko spočívá v nedostatečné kontrole nad osobními daty (kdo, kde a jak je zpracovává). Firmy a organizace uvažující o využití cloudu by si v první řadě měly zpracovat důkladnou analýzu rizik. Poskytovatelé služeb cloud computingu by za tímto účelem měli svým zákazníkům podat veškeré informace nezbytné k posouzení výhod a nevýhod nabízeného systému. Cookies – malé kousky informací, uchovávané v jednoduchých textových souborech, umístěných na váš počítač z webové sítě. Cookies mohou být čteny webovými stránkami během vašich pozdějších návštěv. Informace uložená v cookie může mít vztah k vašemu chování při procházení webové stránky, nebo obsahovat jedinečné identifikační číslo, takže si vás webová stránka bude moci „pamatovat“ při vaší příští návštěvě. Obecně řečeno, cookies neobsahují osobní informace, jejichž prostřednictvím můžete být identifikováni, pokud jste takovéto informace webové stránce neposkytli. Existují dva druhy cookies, které používají webové stránky. Trvalé cookies jsou uloženy na vašem pevném disku po mnoho měsíců nebo let. Relační cookies jsou uloženy ve vyrovnávací paměti během vaší návštěvy webové stránky a jsou automaticky smazány z vašeho počítače v okamžiku, kdy se odpojíte od internetu. Krádež identity - trestný čin vydávání se za někoho jiného s pomocí jeho soukromých informací za účelem finančního či jiného zisku. Mezi nejčastější příklady patří úvěrové podvody s využitím odcizených osobních dokladů. Pharming - jedna z variant krádeže osobních údajů, které jsou získávány po infikování počítače zákeřným programem. Uživateli je pak např. místo požadované oficiální stránky banky podstrčena falešná stránka, která sbírá přístupové údaje a osobní data k jejich dalšímu zneužití. Phishing - krádež citlivých informací, např. údajů o platební kartě či krádež jména a hesla k nějaké službě. Nejtypičtějším příkladem je falešný e-mail, tvářící se jako odeslaný z vaší banky, v němž je požadavek o ověření totožnosti. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která se ovšem tváří, že je v pořádku), kde odevzdá své údaje a následně přijde o peníze. Phishing je tak obdobou tzv. „nigerijských dopisů“. Pod pojmem „nigerijské dopisy“ rozumíme tištěné dopisy či e-mailové zprávy, ve kterých cizinec tvrdí, že disponuje značnými finančními prostředky, ale k jejich faktickému získání potřebuje pomoc další osoby. Obrací se proto na adresáta zprávy a za pomoc při převodu mu nabízí provizi ve výši několika procent z částky. Ve skutečnosti je cílem získat údaje o bankovním účtu adresáta zásilky, který bude následně vykraden. Spam – obecný výraz pro hromadně rozesílanou, nevyžádanou elektronickou poštu. Nevyžádaná komunikace není výjimečná pouze pro internet, většina z nás pravidelně dostává nechtěnou poštu nebo je bez předchozího vyžádání kontaktována telefonicky. Internet se však liší tím, že mnoho uživatelů v současnosti dostává více nevyžádaných e-mailů než užitečných. Výsledkem pak je, že e-mail přestává být vnímán jako rychlý a efektivní nástroj komunikace. Spyware - ilegální software, který se do počítače nainstaluje automaticky, obvykle skrze bezpečnostní slabinu systému. Tam monitoruje aktivitu uživatele a odesílá informace svému autorovi. Získaná data jsou využívána k lepšímu cílení reklamy na uživatele, ale také k odposlechu hesel.

Str. 23


10 Datový sklad a in-memory computing. Upřesnění:  Co je datový sklad a k čemu slouží?  Co je to in-memory computing a jakou přináší změnu? 

Co je Business Intelligence a jaký má vztah k datovým skladům?

Datový sklad (anglicky Data Warehouse, případně DWH) je zvláštní typ relační databáze, která umožňuje řešit úlohy zaměřené převážně na analytické dotazování nad rozsáhlými soubory dat. K definici rozdílu mezi „běžnou“ relační databází a datovým skladem se obvykle používá následujících charakteristik popsaných Williamem Inmonem: 

Orientace na subjekt U běžné relační databáze je obvyklá snaha o co nejmenší redundanci uložení dat, které je dosahováno jejich normalizací do třetí normální formy a vnitřním provázáním jednotlivých logických funkčních celků. V datovém skladu je naproti tomu řešení vždy vedeno snahou o jasnou vnitřní separaci jednotlivých funkčních celků – výsledkem je struktura, která je čitelnější pro uživatele (manažera, business analytika) za cenu zvýšených nároků na paměťový prostor.



Integrovanost Běžná provozní aplikace (program) nad relační databází řeší určitý specifický okruh úloh nad „svými“ specifickými daty. V datovém skladu je třeba naproti tomu shromáždit informace z mnoha různých zdrojů a seskupit je nikoliv podle původu, ale podle logického významu (úzce souvisí s orientací na subjekt – všechna data týkající se určité funkční oblasti potřebuji mít „na jedné hromadě“ bez ohledu na to, odkud pocházejí).



Nízká proměnlivost Data jsou do datového skladu obvykle nahrávána ve větších dávkách (například v denních nebo týdenních intervalech) a pak již nejsou nijak modifikována.



Historizace Data jsou v datovém skladu obvykle udržována v historické podobě, nikoliv pouze v aktuálním stavu. To je dáno nutností provádění analýz zaměřených na vývoj v čase. V běžné relační databázi je z pohledu uživatelů obvykle zajímavý pouze aktuální stav datových objektů.

Logická struktura datového skladu 

Data v datovém skladu jsou z logického (uživatelského) pohledu členěna do schémat – každé schéma odpovídá jedné analyzované funkční oblasti.



Jádro každého schématu tvoří jedna nebo několik faktových tabulek. V nich jsou uložena vlastní analyzovaná data – číselné a finanční hodnoty, které jsou použity k analytickým výpočtům – agregací, tříděním apod. Většinu paměťového místa v datovém skladu zabírají faktové tabulky, které obsahují detailní údaje ze všech zdrojů – tedy řádově více údajů než ostatní tabulky.



Faktové tabulky jsou pomocí cizích klíčů spojeny s dimenzemi. Dimenze jsou tabulky, které obsahují seznamy hodnot sloužících ke kategorizaci a třídění dat ve faktových tabulkách.

Technologie in-memory computing se zaměřuje na optimalizaci transakcí, zejména na práci s daty přímo v operační paměti bez omezení výkonu způsobeného přístupem na datová úložiště. Obecně lze říci, že vnitropaměťové výpočty urychlují zpracování dat až 100.000krát. Namísto hodin či dnů se většina operací odehrává v řádu sekund. Operační paměť serverů musí mít samozřejmě příslušnou dimenzi, povětšinou jde o jednotky terabajtů. Rychlost zpracování ocení zejména datově náročné obory, pro které je důležité relevantní a včasné informování. In-memory computing zkracuje dobu mezi sběrem dat a jejich interpretací. Business intelligence (BI) jsou dovednosti, znalosti, technologie, aplikace, kvalita, rizika, bezpečnostní otázky a postupy používané v podnikání pro získání lepšího pochopení chování na trhu a obchodních souvislostech. Za tímto účelem provádí sběr, integraci, analýzu, interpretaci a prezentaci obchodních informací. Mohou zahrnovat samotné shromážděné informace nebo explicitní znalosti získané z informací.

Str. 24


Business intelligence aplikace poskytují historické, současné a prediktivní zobrazení obchodních operací, nejčastěji s využitím již získaných dat v datovém skladu nebo příležitostně přímo z provozních systémů. Běžné funkce BI aplikací zahrnují reporting, podporu analýz, datové kostky (OLAP), přehledové zobrazení (dashboard, balanced scorecard), dolování dat, podnikové řízení výkonnosti (CPM), podporu plánování a prediktivní analýzy.

Str. 25


11 Utajované informace, informační systémy nakládající s utajovanými informacemi, základní druhy zabezpečené komunikace, základní druhy a způsoby ochrany dat. Upřesnění:  Co je utajovaná informace?  Jaké jsou stupně utajovaných informací? Utajované informace ošetřuje zákon č. 412/2005 Sb., o ochraně utajovaných informací a o 1 bezpečnostní způsobilosti. Utajovaná informace je informace označená stupněm utajení podle zákona, která je uvedena v seznamu utajovaných informací, vydávaném jako Nařízení vlády, v jakékoli podobě zaznamenaná na jakémkoli nosiči, jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné. Stupně utajení 

Vyhrazené, jestliže její vyzrazení neoprávněné osobě nebo zneužití může být nevýhodné pro zájmy České republiky.



Důvěrné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit prostou újmu zájmům České republiky.



Tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit vážnou újmu zájmům České republiky.



Přísně tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit mimořádně vážnou újmu zájmům České republiky.

Ochrana utajovaných informací je zajišťována: 

personální bezpečností výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana,



průmyslovou bezpečností systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím, zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem,



administrativní bezpečností systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi,



fyzickou bezpečností systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat,



bezpečností informačních nebo komunikačních systémů systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému,



kryptografickou ochranou systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací.

Druhy a způsoby ochrany dat:  1)

šifrování,


Str. 26




SSL/TLS,



IPsec,



Firewall,



IDS/IPS systémy,



aplikační proxy,



antiviry,



systémy pro ochranu před DoS a DDoS útoky,



vícefaktorová autentizace.

Str. 27


12 Kybernetická kriminalita a možnosti ochrany. Upřesnění:  Uveďte základní prostředky / postupy pro zajištění jednotlivých bezpečnosti kybernetických informací.  Uveďte bezpečnostní prostředky - kromě antivirů, které znáte a proti kterým rizikům jsou primárně určeny.  Uveďte nejčastější nástroje kybernetické kriminality a způsoby obrany proti nim. Kybernetická kriminalita je trestná činnost, v níž figuruje určitým způsobem počítač jako souhrn technického a programového vybavení (včetně dat), nebo pouze některá z jeho komponent, případně větší množství počítačů samostatných nebo propojených do počítačové sítě, a to buď jako předmět zájmu této trestné činnosti (s výjimkou té trestné činnosti, jejímž předmětem jsou popsaná zařízení jako věci movité) nebo jako prostředí (objekt) nebo jako nástroj trestné činnosti. 1

Kybernetickou kriminalitu je možné rozdělit na následující oblastí : 

kybernetické pronásledování (cyberstalking),



kybernetický podvod (cyberfraud),



praní špinavých peněz (cyberlaudering),



kybernetická krádež (cybertheft),



kybernetická špionáž (cyberspying),



kybernetická pornografie (cyberporn),



kybernetický vandalismus (cybervandalism),



kybernetická pomluva (cyberslandering),



kybernerický terorismus (cyberterrorism),



hacking a softwarové pirátství aj.

Problematice zajištění kybernetické bezpečnosti České republiky se věnuje a úlohy jednotlivým subjektům – včetně veřejné správy, specifikuje dokument Národní strategie kybernetické bezpečnosti ČR na období 2015 až 2020 a Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Neexistence hranic ve veřejné celosvětové síti a obtížnost jednoznačné identifikace útočníka, způsobují obtížné rozlišování kriminality a nepřátelské aktivity jiného státu. I když z hlediska účinku je fakt, zda jde o činnost organizovaného zločinu, nebo znepřáteleného státu, téměř jedno, z hlediska volby kybernetického protiopatření jde ale o zásadní rozdíl. Pro boj s kybernetickou kriminalitou v souladu s výše uvedeným Akčním plánem byla v roce 2015 v rámci Útvaru pro odhalování organizovaného zločinu Služby kriminální policie a vyšetřování (ÚOOZ SKPV) vytvořena specializovaná jednotka. Hlavní příčinou tohoto jejího začlenění byl fakt, že ÚOOZ SKPV má nonstop propojení se zahraničními partnery, které zajišťuje Národní kontaktní bod pro terorismus, který je začleněn v současné struktuře ÚOOZ SKPV. Jak ukazuje celosvětový vývoj, opravdu účinné vzdorování proti kybernetické kriminalitě není možné bez aktivní, koordinované spolupráce nejen bezpečnostních složek (policie, národní obrana), ale i komerčních organizací, zejména bank a provozovatelů komunikačních sítí. Prostředky a postupy zajištění atributů bezpečnosti 

důvěrnost - šifrování informace/dokumentu, - komunikace po virtuálním kanálu, - bezpečnostní komunikační protokol, - přístup na základě individuálních přístupových práv,



integrita

1

) Kybernetická kriminalita v organizaci, Doc. RNDr. Josef Požár, CSc., děkan Fakulty bezpečnostního managementu Policejní akademie České republiky v Praze. [email protected] - http://www.teorieib.cz/pbi/files/51-31Pozar_01-2.pdf.

Str. 28




omezení přístupových oprávnění s právem změny nebo smazání informace, zaručený elektronický podpis, publikace dat na místech s diferencovanými přístupovými právy,

dostupnost - ukládání dokumentů na zabezpečené (s diferencovanými přístupovými právy) sdílené síťové úložiště, - zálohování (vícenásobné ukládání dat, sítí i zdrojů).

Bezpečnostní prostředky 

Firewall – ochrana sítě proti malware z internetu,



Information Right Management – funkcionalita (např. Microsoft IRM, které je součástí Office) umožňující zabezpečit jednotlivý dokument nebo email,



omezení připojení zařízení na základě MAC / IP adresy – ochrana proti připojení neznámých zařízení,



TPM (Trusted Platform Module) čip - zabezpečení HW (zejména mobilního) šifrováním lokálního úložiště (harddisku),



šifrování souborů / disků (např. BitLocker jako součást OS Windows) – ochrana dat heslem,



sledování logů – ochrana umožňující zpětné dohledání nebezpečných aktivit (kdo, co, kdy,... ),



DNSSEC.

Nejčastější nástroje kybernetické kriminality 

Krádež/podvržení falešné identity - trestný čin vydávání se za někoho jiného s pomocí jeho soukromých informací za účelem finančního či jiného zisku. Mezi nejčastější příklady patří úvěrové podvody s využitím odcizených osobních dokladů.



Pharming - jedna z variant krádeže osobních údajů, které jsou získávány po infikování počítače zákeřným programem. Uživateli je pak např. místo požadované oficiální stránky banky podstrčena falešná stránka, která sbírá přístupové údaje a osobní data k jejich dalšímu zneužití.



Phishing - krádež citlivých informací, např. údajů o platební kartě či krádež jména a hesla k nějaké službě. Nejtypičtějším příkladem je falešný e-mail, tvářící se jako odeslaný z vaší banky, v němž je požadavek o ověření totožnosti. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která se ovšem tváří, že je v pořádku), kde odevzdá své údaje a následně přijde o peníze. Phishing je tak obdobou tzv. „nigerijských dopisů“. Pod pojmem „nigerijské dopisy“ rozumíme tištěné dopisy či e-mailové zprávy, ve kterých cizinec tvrdí, že disponuje značnými finančními prostředky, ale k jejich faktickému získání potřebuje pomoc další osoby. Obrací se proto na adresáta zprávy a za pomoc při převodu mu nabízí provizi ve výši několika procent z částky. Ve skutečnosti je cílem získat údaje o bankovním účtu adresáta zásilky, který bude následně vykraden.



Spam – obecný výraz pro hromadně rozesílanou, nevyžádanou elektronickou poštu. Nevyžádaná komunikace není výjimečná pouze pro internet, většina z nás pravidelně dostává nechtěnou poštu nebo je bez předchozího vyžádání kontaktována telefonicky. Internet se však liší tím, že mnoho uživatelů v současnosti dostává více nevyžádaných e-mailů než užitečných. Výsledkem pak je, že e-mail přestává být vnímán jako rychlý a efektivní nástroj komunikace.



Spyware - ilegální software, který se do počítače nainstaluje automaticky, obvykle skrze bezpečnostní slabinu systému. Tam monitoruje aktivitu uživatele a odesílá informace svému autorovi. Získaná data jsou využívána k lepšímu cílení reklamy na uživatele, ale také k odposlechu hesel.

Více a populární formou k této problematice viz např.:  http://www.pravniprostor.cz/clanky/trestni-pravo/kyberneticka-kriminalita-fenomen-dneska,  http://technet.idnes.cz/vas-pocitac-sleduji-on-line-osm-hrozeb-a-jedina-ucinna-obrana-plt/sw_internet.aspx?c=A090810_143019_sw_internet_pka,

Str. 29


13 Elektronický podpis a druhy certifikátů. Upřesnění: Charakteristika, využití, druhy certifikátů, poskytovatel kvalifikované certifikační služby, popište komunikaci s úřadem prostřednictvím uznávaného elektronického podpisu. Uveďte, kdo a na základě čeho je oprávněn poskytovat kvalifikované certifikační služby. Vysvětlete rozdíl mezi kvalifikovaným a komerčním certifikátem a stručně popište jejich využití. Co je elektronický podpis? Jakými předpisy se řídí? Jaké jsou povinnosti související s elektronickými podpisy? K čemu slouží? Elektronické podpisy a další „instrumenty“ definuje od 1. 7. 2016 nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (nařízení eIDAS). Před účinností nařízení eIDAS definoval elektronické podpisy a další „instrumenty“ zákon č. 227/2000 Sb., o elektronickém podpisu. V legislativním procesu je návrh zákona o službách vytvářejících důvěru pro elektronické transakce (navrhovaná účinnost od 1. 7. 2016) = harmonizační zákon pro implementaci části nařízení eIDAS v ČR (oblast služeb vytvářejících důvěru) a rovněž návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce. Změnový zákon přinese řadu drobných i větších změn v jiných zákonech – např. zákon 328/1999 Sb., o občanských průkazech, zákon č. 111/2009 Sb., o základních registrech, zákon č. 499/2004 Sb., o archivnictví a spisové službě, zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, zákon č. 500/2004 Sb., správní řád, … Definice dle eIDAS: 

Elektronický podpis: data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena, a která podepisující osoba používá k podepsání.



Zaručeným elektronický podpis: elektronický podpis, který je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby, je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou a je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.



Kvalifikovaný elektronický podpis: zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy.



Elektronická pečeť: data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu.



Zaručená elektronická pečeť: elektronická pečeť, která je jednoznačně spojena s pečetící (právnickou) osobou, umožňuje identifikaci pečetící (právnické) osoby, je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou a je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat.



Kvalifikovaná elektronická pečeť: zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť.

Definice dle zákona č. 227/2000 Sb.: 

Elektronický podpis: údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě.



Zaručený elektronický podpis: elektronický podpis, který je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl Str. 30


vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. 

Elektronická značka: údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou, jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat.

Klíčové principy e-podpisů Elektronické doporučené doručování a eID samo o sobě nemůže nahradit projev vůle vyjádřený jejich podepsáním elektronickým podpisem. K projevu vůle fyzické osoby má podle nařízení eIDAS sloužit elektronický podpis viz definice, kdy elektronickým podpisem se rozumí data v elektronické podobě, […] která podepisující osoba používá k podepsání. Elektronický podpis je určen pro fyzické osoby (plyne z definice podepisující osoby). Elektronická pečeť má sloužit jako důkaz toho, že elektronický dokument vydala určitá právnická osoba, a poskytovat jistotu o původu a integritě dokumentu. Pečetící osobou může být pouze právnická osoba (plyne z definice pečetící osoby). Samotný elektronický dokument podepsaný kvalifikovaným elektronickým podpisem je možné doručit libovolným způsobem a je zcela rovnocenný listině s vlastnoručním podpisem. Nařízení eIDAS přiznává stejné právní účinky kvalifikovanému elektronickému podpisu jako vlastnoručnímu podpisu (viz článek 25.2 nařízení eIDAS: „Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.“). Pro dokument podepsaný kvalifikovaným elektronickým podpisem platí, že se na něj nahlíží stejně jako na dokument v listinné podobě podepsaný vlastnoručním podpisem. Pro dokument opatřený kvalifikovanou elektronickou pečetí platí domněnka integrity dat a správnosti původu dokumentu, se kterým je kvalifikovaná elektronická pečeť spojena. Pro dokument doručený kvalifikovanou službou elektronického doporučeného doručování platí domněnka integrity dat, odeslání a přijetí těchto dat identifikovaným odesílatelem a příjemcem, správnosti data a času odeslání a přijetí. Členské státy ale i poskytovatelé služeb vytvářejících důvěru mají odpovědnost za škodu při provozování služeb vytvářejících důvěru a v některých případech i jejich nedostupnosti. Nástroje pro vytváření kvalifikovaných elektronických podpisů budou k dispozici ihned od 1. 7. 2016 – aplikuje se přechodné opatření stanovené v nařízení eIDAS, kdy stávající prostředky pro bezpečné vytváření elektronických podpisů (tzv. SSCD zařízení) se budou „automaticky“ považovat za kvalifikované prostředky pro vytváření elektronických podpisů (tzv. QSCD zařízení). Oprávněné poskytování služeb Kvalifikované certifikační služby jsou oprávněny poskytovat jak organizace, tak i fyzické osoby (teoreticky). Aby poskytovatel mohl poskytovat kvalifikované certifikační služby, musí splnit podmínky stanovené zákonem č. 227/2000 Sb., o elektronickém podpisu. V případě splnění stanovených podmínek se jedná o tzv. kvalifikovaného poskytovatele certifikačních služeb. Každý kvalifikovaný poskytovatel certifikačních služeb může požádat o akreditaci, pak se jedná o akreditovaného poskytovatele certifikačních služeb. Akreditaci udělovalo v minulosti Ministerstvo informatiky, nyní Ministerstvo vnitra. Rozdíl mezi kvalifikovaným a komerčním certifikátem Kvalifikovaný certifikát je datová zpráva, která je vydána kvalifikovaným poskytovatelem certifikačních služeb a spojuje data pro ověřování elektronických podpisů (veřejný klíč) s podepisující osobou a umožňuje ověřit její identitu. Náležitosti a vydávání kvalifikovaných certifikátů jsou stanoveny zákonem č. 227/2000 Sb., o elektronickém podpisu. Kvalifikovaný certifikát se používá při ověření zaručeného elektronického podpisu fyzické osoby. Pokud je zaručený elektronický podpis založen na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb, pak se jedná o tzv. uznávaný elektronický podpis. O uznávaný elektronický podpis se jedná také v případě, kdy byl kvalifikovaný certifikát vydán v rámci služby vedené v seznamu důvěryhodných certifikačních služeb jako služba, pro jejíž poskytování je

Str. 31


poskytovatel certifikačních služeb akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván dohled podle předpisu EU. Parametry komerčního certifikátu nejsou stanoveny zákonem č. 227/2000 Sb. Tyto certifikáty nemusí být vystaveny akreditovaným poskytovatelem certifikačních služeb a jsou používány zejména pro autentizaci držitele či zařízení (např. servery) a je možno je využít v rámci zabezpečené komunikace pro její šifrování.

Str. 32


14 Kvalifikované časové razítko a jeho praktické využití. Upřesnění:    

Co je kvalifikované elektronické časové razítko? Jakými předpisy se vydávání a užívání časového razítka řídí? Jaké jsou povinnosti související s časovými razítky? K čemu časové razítko slouží?

Kvalifikované elektronické časové razítko je definováno od 1. 7. 2016 nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (nařízení eIDAS). Před účinností eIDAS definoval časová razítka zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Definice Kvalifikovaného elektronického časového razítka: 

Zákon č. 227/2000 Sb.: Datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem. Pozn. Zákon o elektronickém podpise používal název „kvalifikované časové razítko“.



Nařízení eIDAS: Data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku. Zároveň musí spojovat datum a čas s daty takovým způsobem, aby byla přiměřeně zamezena možnost nezjistitelné změny dat, musí být založeno na zdroji přesného času, který je spojen s koordinovaným světovým časem a musí být podepsáno s použitím zaručeného elektronického podpisu, opatřeno zaručenou elektronickou pečetí kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo označeno jinou rovnocennou metodou.

Dle nařízení eIDAS: 

Pro elektronický dokument opatřený kvalifikovaným elektronickým časovým razítkem platí domněnka správnosti data a času, které udává, a integrity elektronického dokumentu.



Pro elektronický dokument doručený kvalifikovanou službou elektronického doporučeného doručování platí domněnka integrity dat, odeslání a přijetí těchto dat identifikovaným odesílatelem a příjemcem, správnosti data a času odeslání a přijetí.



Veškeré systémy, které jsou v rámci životního cyklu dokumentů povinné ověřit platnost uznávaných elektronických podpisů, musí plně splňovat požadavky nařízení eIDAS. S tímto souvisí případně nutnost počkat až 24 hodin (doba dokdy musejí kvalifikovaní poskytovatelé případně zneplatnit vydaný kvalifikovaný certifikát) na finální ověření platnosti kvalifikovaného certifikátu, na kterém je podpis založen a teprve poté lze kvalifikovaný certifikát, na kterém je podpis založen, považovat za platný, případně za zneplatněný. Pokud je k podpisu připojeno důvěryhodné časové razítko, které je starší než 24 hodin, pak není třeba čekat 24 hodin s finálním ověřením platnosti kvalifikovaného certifikátu.



Odchozí dokumenty veřejné správy vždy opatřit časovým razítkem (platí i před eIDAS, vychází to ze zákona o archivnictví a z jeho vyhlášek). Od okamžiku, kdy nabude účinnosti nový zákon o službách vytvářejících důvěru pro elektronické transakce, je nutné se řídit podle přechodných opatření tohoto zákona.



Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko.



Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech EU.

Str. 33


1

Náležitosti kvalifikovaného časového razítka : 

číslo kvalifikovaného časového razítka unikátní u daného kvalifikovaného poskytovatele certifikačních služeb,



označení pravidel, podle kterých kvalifikovaný poskytovatel certifikačních služeb kvalifikované časové razítko vydal,



v případě právnické osoby obchodní firma nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen,



hodnotu času, která odpovídá koordinovanému světovému času při vytváření kvalifikovaného časového razítka,



data v elektronické podobě, pro která bylo kvalifikované časové razítko vydáno,



elektronickou značku kvalifikovaného poskytovatele certifikačních služeb, který kvalifikované časové razítko vydal.

Kvalifikované časové razítko je datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem. Kvalifikované časové razítko se používá jako důvěryhodný důkaz existence dat v konkrétním čase (a kdykoliv předtím) a používá se zejména v souvislosti s elektronickým podepisováním, resp. označováním. Jako příklad lze uvést elektronický dokument podepsaný uznávaným elektronickým podpisem a opatřený kvalifikovaným časových razítkem. V tomto případě se platnost kvalifikovaného certifikátu, na kterém je podpis založen, ověřuje k času uvedenému v kvalifikovaném razítku. V případě, že dokument neobsahuje kvalifikované časové razítko, ověřuje se platnost k okamžiku, kdy elektronický podpis prokazatelně existoval (například okamžik, kdy byl dokument přijat). Použitím časových razítek lze zajistit digitální kontinuitu podepsaných/označených dokumentů.

1)

http://www.zakonyprolidi.cz/cs/2000-227

Str. 34


15

Informační a komunikační technologie, jejich význam a uplatnění v praxi.

Upřesnění:  Co jsou informační a komunikační technologie?  Jaký je význam ICT? Jak změnilo ICT výkon veřejné správy? Informační a komunikační technologie (ICT) (z anglického Information and Communication Technologies), česky též IKT, zahrnují veškeré informační technologie používané pro komunikaci a práci s informacemi. Původní koncept informačních technologií (IT) byl doplněn o prvek komunikace, kdy mezi sebou začaly komunikovat jednotlivé počítače či uzavřené sítě. ICT ovšem nejsou jen hardwarové prvky (počítače, servery…), ale také softwarové vybavení (operační systémy, síťové protokoly, internetové vyhledávače…). Důvod zavádění a užívání - násobné zvýšení efektivnosti opakovaných činností cestou jejich „zjednodušení a automatizace“. Konkrétně ve veřejné správě: 

efektivní sdílení dat a dokumentů s jednoznačně určeným „vlastníkem“,



možnost současné práce více osob s jedním dokumentem,



bezpečnost a logování,



snadnější kontrola a audit,



komunikace a okamžitá (On-Line) spolupráce i na velké vzdálenosti,



centralizovaná organizace práce a řízení procesů,



ukládání a zálohování,



možnost jednotného vzhledu (využívání šablon) atd.

„Tak například řadě podniků (automobilky, konfekce) vděčí ICT za „customizování“ hromadné produkce, v některých případech dokonce vtažení zákazníka do samotného procesu specifikace výrobku. Dalším podnikům (telekomunikace, banky) umožnily ICT poskytovat zákazníkům zcela nové služby, a to nepřetržitě (24 hodin, 365 dní v roce). Jiné podniky (supermarkety, automobilky) využily ICT ke zcela novým vztahům se svými dodavateli (supply chain management). Výrazně se tím zkrátil čas dodávky zboží koncovému zákazníkovi a současně se optimalizovaly zásoby uvnitř dodavatelského řetězce. Mobilní technologie přinášejí zcela nové možnosti pro logistiku a nasazení RFID (Radio Frequency Identification) zřejmě bude znamenat převrat v prodeji a užití mnohých komodit. Na úrovni státu mění ICT formy styku občana i podnikatelských subjektů se státními orgány, mohou dokonce přinést nové pojetí a nové techniky demokracie. Nasazení ICT je sice často doprovázeno vytlačováním pracovní síly z podnikových procesů, ale na druhé straně mohou být ICT využity k rekvalifikaci, k hledání pracovního uplatnění nebo k zaměstnání lidí žijících v odlehlých 1 lokalitách“ (Autor: prof. Jiří Voříšek ). Příklady změn praxe výkonu veřejné správy způsobené ICT:

1



Distribuce dokumentů a informací – dříve se dokumenty musely přepravovat na velké vzdálenosti k příslušným úředníkům, dnes mají úředníci všechny dokumenty k dispozici ihned.



Vyhledávání – dříve se dokument nebo informace museli vyhledávat v archivech a kartotékách mezi tisíci jinými, dnes je možné vyhledávat fulltextově nebo pomocí metadat i z druhého konce světa.



Kolaborace a spolupráce – dříve byly procesy lineární, dokud jeden úředník dokument nezpracoval, nemohl začít pracovat následující, dnes je možné pracovat s elektronickým obrazem dokumentu a rozhodnutí vytvářet i kolaborativně (více osob tvoří současně jeden dokument).

http://archiv.ihned.cz/c1-14454570-informacni-technologie-a-jejich-strategicky-vyznam Str. 35


16

Základní požadavky na funkci informačního systému.

Upřesnění:  Co je nutné zohlednit při návrhu funkcí informačních systémů ve veřejné správě? Obecně Informačním systémem je funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost. Každý informační systém zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále nástroje umožňující výkon informačních činností. Dodržovat princip 3E, tedy hospodárnosti, efektivity a účelnosti. Jinak řečeno, mají být realizovány funkce a vlastnosti IS, které odpovídají tvrzení „dělat správné věci, dělat je správně a dělat je za přiměřené náklady“. Agendy, procesy, činnosti a funkce musí odpovídat zákonným a dalším požadavkům. Při návrhu funkcí informačního systému je tedy třeba zohlednit a zapracovat nejen věcnou legislativu popisující co a proč se vykonává (např. správní řád), ale i obecnou IT legislativu (spisové služby, elektronický podpis, otevřená data apod.). Při tvorbě, úpravách, rozvoji a provozu informačních systémů je nutné dodržovat architektonické principy: Název principu

Znění principu

Dostupnost

Služby veřejné správy musí být všem dostupné především v elektronické podobě, v jakémkoliv čase, v jakékoliv lokalitě a musí být poskytovány nediskriminačním a bezbariérovým způsobem.

Použitelnost

Služby veřejné správy musí být navrhovány s ohledem na potřeby klienta tak, aby mohl vždy vyřídit svoji životní situaci v úplnosti elektronickou službou.

Důvěryhodnost

Elektronické služby veřejné správy musí být koncipovány takovým způsobem, aby klienti měli plnou důvěru k jejich využívání.

Transparentnost

Pořízení, rozvoj i provoz služeb veřejné správy musí být vždy zajištěn transparentním způsobem.

Bezpečnost

Elektronické služby musí zajistit adekvátní zabezpečení datového obsahu i přístupu k datům a službám samotným.

Spolupráce a sdílení

Elektronické služby veřejné správy jsou navrhovány a budovány primárně na principu spolupráce a sdílení informací a zdrojů mezi úřady veřejné správy.

Udržitelnost

Pořízení nových služeb veřejné správy musí být vždy opodstatněné a služby musí být navrhovány jako dlouhodobě využitelné.

Technologická neutralita

Služby veřejné správy musí být koncipovány jako technologicky a platformově nezávislé a nesmí být závislé na omezené skupině dodavatelů.

U všech informačních systémů se musí již na počátku stanovit exit strategie, tedy způsob výměny systému nebo přechod k jinému dodavateli. Je rovněž nutné tvořit zadání v souladu se zákonem č. 137/2006 Sb., o veřejných zakázkách, což souvisí s principem technologické neutrality. Není přípustné tvořit duplicitní informační systémy či jejich funkce. Například každý úřad by měl mít jen jeden systém spisové služby s výjimkou odůvodněných případů jako je např. zvláštní režim ochrany informací nebo přechodné řešení výměny systému za jiný. Obdobně není přípustné, aby docházelo k tvorbě systémů nebo jejich částí, které by duplikovaly funkce poskytované jako sdílené služby eGovernmentu, s výjimkou závažných důvodů. Mezi sdílené služby eGovernmentu v současnosti patří: 

Síť kontaktních míst veřejné správy Czech POINT spolu s CzechPOINT@home (samoobslužné pro občany) a CzechPOINT@office (prostředí pro úředníky).



Informační systém datových schránek – nástroj pro zaručenou elektronickou komunikaci se státem, který nahradil klasické posílání obálek s pruhem.



Informační systém základních registrů, v nichž jsou uloženy aktuálně platné referenční údaje, které už ve většině případů nemusí úředníci opakovaně žádat od občanů. Str. 36




JIP/KAAS - Jednotný identitní prostor / Katalog autentizačních a autorizačních služeb.



Portál veřejné správy.



CMS/KIVS - Centrální místo služeb / Komunikační infrastruktura veřejné správy.



eGSB - eGON Service Bus pro poskytování služeb a funkcí mezi informačními systémy ve veřejné správě.



Od roku 2016 se mezi sdílené služby eGovernmentu začnou řadit rovněž prvky eIDAS.

Schvalování záměrů od odboru Hlavního architekta Ministerstva vnitra Usnesením vlády ze dne 2. listopadu 2015 č. 889 byla definována role Odboru Hlavního Architekta Ministerstva Vnitra (OHA MV) jako hlavního gestora všech IT projektů v České republice, kde předkladatelem projektu je každé ministerstvo, ústřední správní úřad, jiná organizační složka státu, které připravuje takovýto projekt, bez ohledu na způsob jeho financování. Jedná se o záměry čerpání finančních prostředků na výdaje související s informačními a komunikačními technologiemi s hodnotou více než 6 milionů Kč ročně, respektive 30 milionů Kč vynaložených za 5 let. Každý zpracovatel projektu je zejména povinen: 1) Seznámit s projektem před zahájením jeho realizace odbor Hlavního architekta eGovernmentu, a to včetně všech souvisejících podkladů, zejména pak základními podmínkami, ekonomickou a personální náročností a dále s architektonickým modelem navrhovaného řešení. 2) Konzultovat s odborem Hlavního architekta eGovernmentu opatření využívající sdílené služby informační společnosti. 3) Zajistit po celou dobu realizace projektu jeho řízení standardizovanou projektovou metodiku, např. PRINCE2, PMBOOK apod.

Str. 37


17 Integrita a její důležitost v systému bezpečnosti informačního systému. Upřesnění:  Vysvětlete pojem integrita informačního systému.  Popište význam integrity systémů veřejné správy. Integrita dat je vlastnost, která zaručuje, že na stejnou otázku dostanu od informačního systému vždy stejnou odpověď. Důraz je kladen na celistvost dat a služeb. Jedná se o jednu z nejdůležitějších vlastností informačního systému. V informatice a telekomunikacích má termín integrita dat následující významy: 1. Stav, kdy přečtená data jsou totožná s daty uloženými, tzn. během uložení (přenosu) dat nedošlo k jejich neočekávaným změnám. 2. Zajištění kompletnosti dat, například osobní číslo patří nějaké osobě. Pokud by osobní číslo nikomu nepatřilo, jedná se o osiřelá nebo nekompletní data. 3. Zachování dat pro jejich zamýšlené použití. Bezpečnost Další význam integrity dat v počítačové bezpečnosti je ujištění, že k datům mohou přistupovat a měnit je pouze ti, kteří k tomu mají příslušná oprávnění. Jejich zásahy (jako čas přihlášení do systému, čas odhlášení ze systému, provedené změny na jednotlivých datech či v systému zpracování) jsou auditovány a následně je možné tyto informace dozorovat. Integrita dat bývá zajišťována kontrolními součty, hašovacími funkcemi, samoopravnými kódy, audit logy, či pevnou datovou strukturou, kterou je možno při následném zpracování podrobit ověření na typ položek či dokonce jejich úmyslnou či neúmyslnou změnu během přenosu informace mezi jednotlivými systémy. V kryptografii a v zabezpečení informací všeobecně integrita znamená platnost dat. Může být porušena: 

Záměrným pozměněním, např. útočník změní číslo účtu v bankovní transakci, nebo padělá dokument prokazující identitu.



Náhodným pozměněním, např. chyby při přenosech dat nebo porucha pevného disku.

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti: Prováděcí právní předpisy k zákonu č. 181/2014 Sb. dle Sbírky zákonů ze dne 19. 12. 2014 specifikují, že v případě narušení integrity aktiv se jedná o kybernetický bezpečnostní incident. Jedním z požadavků je řízení aktiv s ohledem na integritu a jejich následné rozdělení do jednotlivých úrovní (viz následná kapitola). Dalším z požadavků je použití nástroje pro ochranu integrity komunikačních sítí což vychází z požadavku na řízení provozu a komunikace. Nemalou váhu zajištění integrity je pomocí kryptografických prostředků, kde je povinností organizace specifikovat pravidla použití a jednotlivé úrovně ochrany s ohledem na typ a použití informací. Základní bezpečnostní opatření pro informační aktiva z hlediska integrity v rámci organizace Zde je vzorově ukázáno přiřazení jednotlivých opatření pro různé hodnoty aktiv z hlediska integrity informačního systému v rámci organizace. Tato opatření musí být realizována v případě, že to je technicky možné. Pokud je nějaké opatření vyloučeno, je nutné to zdůvodnit z jakého důvodu. Jakmile není nějaké opatření vyloučeno a není realizováno, musí tato skutečnost být vedena jako riziko. Hodnota aktiva hlediska integrity

z

Povinná opatření

0 - nízká



Žádné opatření.

1 - střední



Povolené typy přístupu pro skupiny osob nebo pro jednotlivé osoby.

2 - vysoká



Povolené typy přístupu pro jednotlivé osoby.



Sledování historie provedených změn.



Zaznamenání identity osoby, která změnu provedla.



Při přenosu ochrana kryptografickými prostředky nebo přenos Str. 38


přes bezpečné linky.

3 - kritická



Ochrana kryptografickými prostředky při ukládání na nosiče dat mimo kontrolu organizace.



Povolené typy přístupu pro jednotlivé osoby.



Sledování historie provedených změn.



Zaznamenání identity osoby, která změnu provedla.



Při přenosu dat ochrana kryptografickými prostředky nebo přenos přes bezpečné linky.



Ochrana kryptografickými prostředky při ukládání na nosiče dat mimo kontrolu organizace.



Auditing prováděných operací. Při selhání auditingu neumožnit změnu.



Zaručení nepopiratelnosti provedené změny (např. digitálním podpisem).

Str. 39


18 Radiokomunikační systém PEGAS jako komunikační prostředek základních složek Integrovaného záchranného systému. Upřesnění:  V čem spočívá hlavní význam a unikátnost komunikačního systému PEGAS? Radiokomunikační systém PEGAS je neveřejná obdoba veřejných digitálních sítí mobilních telefonních operátorů, ovšem s podstatně jiným určením a tedy i s podstatně jiným vybavením, které nelze funkcemi veřejných sítí nahradit. Systém byl vybudován jako celostátní a je tvořen vzájemně plně propojenými 14 regionálními sítěmi, které svým územním rozsahem odpovídají současnému krajskému uspořádání státu. Má pevnou infrastrukturu, která se skládá z rádiových ústředen, základnových radiostanic a jejich propojující přenosové sítě. Koncovými terminály (vozidlové a ruční radiostanice) mají uživatelé sítě zajištěn přístup ke službám. Systém pracuje ve třech vrstvách, a to vrstvě rádiové, přepínací a řídící. Je tvořen sítí rádiových buněk umožňujících mobilní digitální komunikaci. Systém poskytuje speciální hlasové a datové služby pro potřeby policie, hasičů, zdravotnických záchranářů a dalších vybraných uživatelů. Jedná se o služby plně zabezpečené v relaci konec - konec, a to díky zavedeným autentizačním a šifrovacím mechanizmům. Vlastníkem sítě PEGAS je Ministerstvo vnitra, které ji vybudovalo v letech 1995 - 2003 na bázi technologie TETRAPOL (dříve Matracom 9600 tehdejší firmy Matra Nortel Communications, dnes Airbus Defence & Space), vyvinuté přímo pro potřeby bezpečnostních složek. Na základě zákona č. 184/2014 Sb., o kybernetické bezpečnosti, byl radiokomunikační systém PEGAS určen za prvek kritické informační infrastruktury státu.

Str. 40


19 Elektronická spisová služba. Upřesnění:  Co je to elektronická spisová služba?  Jaké povinnosti mají úřady v souvislosti se spisovou službou?  Jaké jsou požadavky na digitalizaci, převody formátů, elektronické podpisy a časová razítka? Orgány státní správy jsou povinny vést elektronickou spisovou službu dle zákona č. 499/2004 Sb., o archivnictví a spisové službě. Výkon spisové služby spočívá v „zajištění odborné správy dokumentů vzniklých z činnosti původce, popřípadě z činnosti jeho právních předchůdců, zahrnující jejich řádný příjem, evidenci, rozdělování, oběh, vyřizování, vyhotovování, podepisování, odesílání, ukládání a vyřazování ve skartačním řízení, a to včetně kontroly těchto činností.“ Metodickou pomoc ke spisové službě poskytuje Národní archiv. Základní povinností veřejnoprávních původců je vykonávat spisovou službu v souladu se zákonem a jeho prováděcími předpisy (vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby a národní standard pro elektronické systémy spisové služby), zejména: 

vydat spisový řád, kterým upraví svůj výkon spisové služby,



označovat a ukládat dokumenty podle spisového a skartačního plánu (součásti spisového řádu),



vyřazovat dokumenty pouze způsobem stanoveným zákonem prostřednictvím příslušného archivu,



vykonávat spisovou službu,



pokud vykonává spisovou službu v elektronické podobě v elektronickém systému spisové služby, mít tento systém v souladu s národním standardem pro elektronické systémy spisové služby.

Klíčová pravidla vyřizování dokumentů 

Při vyřizování dokumentů se všechny dokumenty týkající se téže věci spojí ve spis. Dokumenty v analogové podobě se vzájemně spojí fyzicky, dokumenty v digitální podobě se vzájemně spojí prostřednictvím metadat, vzájemné spojení dokumentu v analogové podobě a dokumentu v digitální podobě se činí pomocí odkazů.



Vyřízením spisu se rozumí zpracování návrhu, jeho schválení, vyhotovení, podepsání a vypravení rozhodnutí nebo jiné formy vyřízení.



Má-li být dokument vyvěšen na úřední desce, činí se tak vyvěšením jeho stejnopisu opatřeného datem vyvěšení. Po sejmutí se vyvěšený stejnopis opatří datem sejmutí a zařadí do příslušného spisu jako doklad o vyvěšení dokumentu na úřední desce. Ustanovení věty první a druhé se nevztahuje na zveřejňování dokumentů na elektronické úřední desce.



Dokumenty určeného původce podepisuje jeho statutární orgán nebo jiná osoba oprávněná za něj jednat anebo osoba, která k tomu byla statutárním orgánem pověřena.



Po vyřízení věci se spis uzavře. Uzavřením spisu se rozumí kompletace všech dokumentů patřících do spisu, kontrola a doplnění údajů podle § 66 odst. 3 před uložením do spisovny a převedení dokumentů v digitální podobě do výstupního datového formátu a jejich opatření metadaty podle národního standardu.



Z uzavřeného spisu nesmějí být vyjímány jednotlivé dokumenty. Uzavřený spis je možno připojit k jinému spisu, pokud neuplynula jeho skartační lhůta.



Použití razítek se státním znakem, uznávaného elektronického podpisu, uznávané elektronické značky a kvalifikovaného časového razítka upraví určený původce ve spisovém řádu.



Veřejnoprávní původci vykonávající spisovou službu v elektronické podobě v elektronickém systému spisové služby podle § 63 odst. 4 mohou ve svých spisových řádech upravit používání zvláštních technologických prostředků, kterými lze výlučně pro potřeby příslušného původce nahradit uznávaný elektronický podpis, uznávanou elektronickou značku nebo kvalifikované časové razítko; tyto zvláštní technologické prostředky musí umožnit zjištění

Str. 41


jakékoli následné změny dat v dokumentu a jednoznačně ověřit identitu osoby, která je k němu připojila. Ustanovení § 69a odst. 5 se na zvláštní technologické prostředky použije obdobně. Klíčové principy práce s dokumenty 

Jestliže veřejnoprávní původce poškodí nebo zničí archiválii, nebo dokument, nevykonává spisovou službu podle § 63 zákona, nevydá spisový řád a spisového a skartační plán, neoznačuje dokumenty spisovými znaky, skartačními znaky a skartačními lhůtami, nedodržuje stavebně technické podmínky pro ukládání dokumentů a neukládá dokumenty podle spisového a skartačního plánu, dopouští se správního deliktu, za který mu může být ve správním řízení uložena pokuta do výše 200 tisíc Kč.



Výkon spisové služby je podporován programovými prostředky, kterými je elektronický systém spisové služby. Tento nástroj zastřešuje správu dokumentů v analogové (zpravidla listinné) podobě i dokumentů v digitální podobě (elektronické).



Nakládání s e-maily z běžné komunikace má řešit spisový řád organizace. Pokud mají e-maily úřední charakter (ve smyslu činnosti původce), musí být označeny a zaevidovány. E-maily doručené na elektronickou adresu podatelny je potřeba vždy pokládat za “úřední.”



Všechny dokumenty je nutné převádět do formátu PDF/A. Převod dokumentu je možné provádět automatizovaně, bez porovnání každého vstupu a výstupu převodu fyzickou osobou. Záznamy a dokumenty je nutné převádět při jejich vyřízení (uzavření spisu). Vždy musí obsahovat podpis a časové razítko, ovšem vzhledem k tomu, že hash dokumentu je zaznamenán v transakčním protokolu, jehož denní dávka je opatřena elektronickou značkou a časovým razítkem, lze povinnost opatření doložkou, elektronickým podpisem a časovým razítkem realizovat prostřednictvím transakčního protokolu – pokud bude zaručeno trvalé spojení dokumentu s doložkou i v případě exportu mimo elektronický systém spisové služby.



V případě doručování dokumentů obsahujících úkony orgánů veřejné moci vůči adresátům veřejné moci se pro náležitosti těchto úkonů uplatní procesní předpisy (občanský soudní řád, správní řád). Ty požadují opatřit úkony orgánů veřejné moci zaručeným elektronickým podpisem. Tyto normy se uplatní přednostně před obecným pravidlem v zákoně č. 300/2008 Sb. (úkon učiněný osobou oprávněnou k přístupu do datové schránky či pověřenou osobou má stejné účinky jako úkon učiněný písemně a podepsaný). Opatření úkonů orgánů veřejné moci adresovaných adresátům veřejné moci zaručeným elektronickým podpisem je nezbytné i z toho důvodu, že adresáti si nemohou dokument, který není opatřený elektronickým podpisem, nechat autorizovaně zkonvertovat. V případě výkonu spisové služby v elektronické podobě v elektronickém systému spisové služby musí tedy fyzická osoba určeného původce vždy disponovat uznávaným elektronickým podpisem.



Pouze v případě vstupu autorizované konverze (dle zákona č. 300/2008 Sb.), smí původce vykonávající spisovou službu v elektronické podobě v elektronickém systému spisové služby vstup konverze zničit bez skartačního řízení po uplynutí stanovené lhůty, nebrání-li tomu jiný právní předpis.



Neexistuje povinnost digitalizovat např. všechny doručené analogové dokumenty, nicméně vyhláška uvádí, že „…zpravidla převede doručený dokument v analogové podobě…“.



Výstup z autorizované konverze nebo převodu dokumentu není originálem. V případě autorizované konverze má právní účinky ověřené kopie.

Str. 42


20 Informační systém datových schránek (ISDS). Upřesnění:  Co je ISDS a kdo jej provozuje (vysvětlete pojem a popište, k čemu slouží Datová schránka a uveďte její druhy dle zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů)?  Vysvětlete pojem a k čemu slouží „Autorizovaná konverze dokumentu“.  Popište způsob zřízení datové schránky.  Vysvětlete pojem „Datová zpráva“ z pohledu zákona č. 300/2008 Sb., o elektronických úkonech a 1 autorizované konverzi dokumentů . Co je ISDS Je to informační systém veřejné správy, který nabízí elektronickou alternativu doručování v listinné podobě. Správcem tohoto informačního systému je Ministerstvo vnitra a provozovatelem je držitel poštovní licence, tj. Česká pošta, s.p.. Datová schránka je elektronické úložiště, které je určeno k doručování orgány veřejné moci, k provádění úkonům vůči orgánům veřejné moci a k dodávání dokumentů fyzických, podnikajících fyzických osob a právnických osob. Druhy datových schránek (DS) jsou DS orgánu veřejné moci, DS fyzické osoby, DS podnikající fyzické osoby, DS právnické osoby. Datové schránky vznikly a jsou vedeny na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Autorizovaná konverze dokumentů Autorizovaná konverze znamená úplné převedení dokumentu v listinné podobě do elektronické podoby nebo úplné převedení elektronického dokumentu do dokumentu v listinné podobě. Dokument, který provedením konverze vznikl, má stejné právní účinky jako dosud používaná ověřená kopie. Konverzí se rovněž nepotvrzuje správnost a pravdivost údajů obsažených ve vstupu a jejich soulad s právními předpisy. Tento termín zavádí zákon č. 300/2008 Sb. Zřízení datové schránky Podle typu subjektu (držitele schránky) se zřizuje datová schránka, buď ze zákona, tj. Ministerstvo vnitra zřídí tento typ datové schránky bezodkladně poté, co se z příslušné evidence dozví o vzniku nového subjektu (Orgán veřejné moci, advokát, daňový poradce, insolvenční správce, právnická osoba zapsaná v obchodním rejstříku). Dalším způsobem je zřízení datové schránky na žádost, což mohou využít všechny ostatní subjekty, kterým není datová schránka zřízena ze zákona Podání žádosti o datovou schránku na žádost je možné několika způsoby:

1) 2) 3)

Žadatel se dostaví na Czech POINT. Podá v listinné podobě, kde žádost bude opatřena úředně ověřeným podpisem žadatele. Oprávněný žadatel zašle žádost v elektronické podobě opatřený uznávaným elektronickým podpisem žadatele na el. podatelnu Ministerstva vnitra.

Datová zpráva Zjednodušeně lze datovou zprávu ISDS popsat jako obálku, obsahující předepsané elementy (metadata) a přílohy, které do ní vkládá odesílatel. Obálka je v okamžiku podání opatřena el. značkou ministerstva vnitra a kvalifikovaným časovým razítkem. Technicky je datová zpráva ISDS ve formátu ZFO, což jsou komprimovaná (zazipovaná) XML data. Fikce podpisu (pravidlo, že datová zpráva se považuje za podepsanou odesílatelem) se vztahuje k celé datové zprávě včetně metadat. K prokazování je tedy nutné vždy dokládat celý soubor ZFO, tedy datovou zprávu včetně „košilky“. Povinnosti související s ISDS OVM mají povinnost majitelům datových schránek doručovat vše, co by jinak poslaly poštou, právě do datové schránky. Výjimkou je, pokud v rámci konkrétního řízení osoba výslovně požádá, aby jí bylo doručováno jinak. 1)


Str. 43


Zpráva doručená do datové schránky má stejné právní účinky jako podepsaný dokument v listinné podobě. Samotné doručení do datové schránky je rovno doporučenému dopisu do vlastních rukou. Zpráva se považuje dle zákona č. 300/2008 Sb. za doručenou „okamžikem, kdy se do datové schránky přihlásí osoba, která má s ohledem na rozsah svého oprávnění přístup k dodanému dokumentu.“ Tato volnost je omezena shora 10 denní lhůtou, po níž je zpráva považována za doručenou, i pokud si ji do 10 dnů od přijetí nikdo nevyzvedne. V některých případech může nastat situace, kdy má jeden občan až 3 datové schránky. Takovým případem může být situace, kdy je občan zároveň fyzickou nepodnikající osobou, podnikatelem a advokátem. Doručováno musí být do té schránky, která odpovídá předmětu zprávy. Tedy pokud se jedná o adresování advokátovy, musí se posílat jen do advokátní schránky. Dle judikatury je možné doručit písemnosti i do jiné datové schránky osoby, ale zde neplatí fikce doručení, tedy pokud je dokument o soudním řízení zaslán advokátovi do datové schránky fyzické osoby (občana) je doručení platné, jen když se do ní přihlásí, tím zprávu převezme, 10 denní lhůta se zde nemůže uplatnit. Na datovou schránu obvykle navazuje systém spisové služby, který zajišťuje vnitřní oběh elektronických dokumentů v rámci úřadu.

Str. 44

STUDIJNÍ TEXTY KE ZVLÁŠTNÍ ČÁSTI ÚŘEDNICKÉ ZKOUŠKY OBOR SLUŽBY Č. 36 INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

Recommend Documents