Zákon o eGovernmente, zákon o informačnej bezpečnosti IT Summit 6. október 2011
M. Molnár, J Hochmann Ministerstvo financií SR Štefanovičova č. 5, 817 82 Bratislava 15
-1-
Obsah 1.
Zákon o elektronizácii procesov a o zmene a doplnení niektorých zákonov - (eGov.) − − −
2.
Legislatívny zámer zákona Návrh zákona Vykonávacie predpisy
Zákon o informačnej bezpečnosti − − −
Legislatívny zámer zákona o informačnej bezpečnosti Návrh zákona Vykonávacie predpisy
-2-
1. Zákon o elektronizácii administratívnych procesov - eGov. 1.
Legislatívny zámer zákona - uznesenie vlády SR č. 657/2010 zo dňa 29. septembra 2010
2.
Návrh § - ového znenia a predpokladaný leg. proces - MPK
23. 9. 2011 – 13. 10. 2011 12. 9. 2011 – 20. 10. 2011 14. 10. 2011 – 15. 12. 2011 júl 2012
- Pracovné stretnutia - Zapracovanie MPK - Legislatívna rada vlády - Parlament - predpokladaná účinnosť
3.
Vykonávacie predpisy - Výnos MF SR o konverzii dokumentov
- Výnos o podrobnostiach prevádzky modulu elektronických osobných schránok -3-
Predmet úpravy návrhu zákona -
Všetky ISVS, vrátane obrany, utajovaných skutočností a medzinárodných zmlúv pokiaľ osobitný predpis neustanoví inak,
-
Spôsob komunikácie a základné pravidlá prepojiteľnosti – interoperabilita,
-
Služby a správa elektronických osobných schránok,
-
Základné registre a univerzálny register,
-
Identifikátory právnických a fyzických osôb a právnických a ich použitie,
-
Referenčné údaje a narábanie s nimi,
-
Podmienky zaobchádzania s elektronickými dokumentmi,
-
Podmienky konverzie elektronických dokumentov (obojsmerne). -4-
Vymedzenie základných pojmov a definície – Register, základný register, registrátor, – referenčný údaj a jeho hodnota (obsah), – povinná osoba (právo pracovať s referenčnými údajmi), – elektronická osobná schránka (osobné konto pre styk s povinnými osobami ... ), – elektronický dokument (digitálny dokument uchovávaný na nosiči a spracovávaný...) – identifikátor, zdrojový identifikátor (N, B, J → špecifický identifikátor, ....)*, – špecifický identifikátor FO a PO (N, B, J → osobu v sektore)*, – prístupové miesto,
– elektronická úradná tabuľa ( webové sídlo pre doručovanie verejných vyhlášok, listín) – Dokument, listinný dokument, digitálny dokument *(N, B, J) - neverejný, bezvýznamový, jedinečný
• Referenčné údaje a základné registre (ZR) – MF SR vedie zoznam základných registrov a referenčných údajov (C-MIS)
• Zaobchádzanie s referenčnými údajmi (RU) – Povinnosti registrátora: • zápis, výmaz a zmeny, • uchovávanie úkonov s údajmi 25 rokov od vykonania posledného úkonu, • garantovaný údaj / negarantovaný údaj – informatívny charakter.
– Povinnosti správcu základného registra: • dostupnosť, aktualizáciu zmeny do 24 hodín, • oznamovacia povinnosť správcom dotknutých základných registrov.
– Povinná osoba: • oznamovacia povinnosť o nesprávnosti referenčný údaj registrátorovi, • povinnosť používania referenčný údaj, • nesmie vyžadovať dokumenty potvrdzujúce ref. údaj už v existujúcich registroch.
• Spoločné moduly - sú samostatnými ISVS – – – – –
Identifikačný modul, Centrálny metainformačný systém (C-MIS) verejnej správy, Modul elektronických osobných schránok, Modul elektronických formulárov, Platobný modul.
• Správca základného registra – správa a prevádzka základných registrov, – vedenie záznamov, dostupnosť referenčných údajov, zálohy, bezpečnosť.
• Správca identifikátorov – vytvára, prideľuje a vedie zdrojové a špecifické identifikátory.
• Správca transakcií – zabezpečuje prepojenia medzi ISVS a centrálnym metainformačným systémom Správa základných registrov.
• Správca formulárov • Správca platieb • Správca schránok
• Štátny správca schránok a akreditovaný správca schránok – štátny správca schránok – ÚV SR, – akreditovaný správca schránok – právnická osoba akreditovaná MF SR, ak spĺňa technické, technologické, právne a organizačné podmienky.
• Univerzálny základný register – nadrezortný ISVS, – zriaďovateľ a správca – MF SR, – zriadenie vybraného registra do 15 dní od podania žiadosti povinnej osoby (schvaľovací proces pre zaradenie vykonáva MF SR).
• Identifikátor fyzickej osoby – správca MV SR – identifikátor sa prideľuje pri zápise do registra obyvateľov, – 1 zdrojový ID + 1 špecifický ID + (vo vnútri aj vlastné ID).
• Identifikátor právnickej osoby – správca MV SR – identifikátor sa prideľuje pri zápise do príslušného registra, – 1 zdrojový ID + 1 špecifický ID + (vo vnútri aj vlastné ID).
• Použitie identifikátorov – – – –
povinná osoba → špecifický ID → základný register, ISVS, povinná osoba → vlastné ID (ak má ISVS vo svojej správe a nejde o ZR), Identifikačný modul – transformácia špecifických ID medzi ISVS, zodpovednosť (za správnosť, bezpečnosť prenosu, zneužitie) nesie správca z ktorého sa prenos uskutočňuje. -10-
• Register rozhodnutí – vedie a sprístupňuje iným povinným osobám každá povinná osoba
• Prístup k údajom a notifikácia – iba osobe o ktorej sú údaje vedené, – vedenie evidencie oprávnení prístupov správcom, – vedenie zoznamu splnomocnení konať v mene iných osôb.
• Elektronické služby verejnej správy – kategorizácia služieb (úrovne 0 – 6) • • • • • •
0 – off-line (elektronicky nedostupná) 1 – informatívna úroveň dostupná elektronicky 2 – jednosmerná interakcia 3 – obojsmerná interakcia 4 - transakčná úroveň 5 – proaktívna úroveň -11-
• Elektronické osobná schránka (fyzická osoba, právnická osoba) – zriaďovateľ a prevádzkovateľ (ÚV SR, na ÚPVS), – na žiadosť bezplatne do 3 dní ( zo zákona jej zriadením), – náležitosti (meno, priezvisko, dátum narodenia, adresa, miesto, štátna príslušnosť, ČOP, úradne overený podpis, resp. ZEP, ... ).
•
Aktivácia elektronickej osobnej schránky – na žiadosť oprávneného používateľa do 3 pracovných dní.
• Prístupové údaje, deaktivácia a zrušenie el. osobnej schránky – zneplatnenie prístupových údajov na žiadosť oprávneného používateľa, – deaktivácia na 60 – ty deň od doručenia žiadosti, – do 3 dní od úmrtia.
Služby poskytované EOS • • • • • • •
Správa úradných záznamov oprávneného používateľa, prehľad o vykonaných úkonoch voči povinným osobám a o stave ich vybavovania, prehľad o platbách vykonaných prostredníctvo schránky, služba el. podateľne (notifikácia, automatické oznamy), služba hromadného podania, prístup do modulu schválených el. formulárov, ukladanie el. dokumentov do lokálneho úložiska oprávneného používateľa schránky (záloha).
Podmienky zriadenia a prevádzkovania budú vypracované a zverejnené na Web v sídle správcu EOS.
-13-
• Identifikácia používateľa EOS – špecifický ID právnickej / fyzickej osoby.
• Elektronické podanie – musí obsahovať náležitosti stanovené osobitným predpisom, prílohy, použitie schválených el. formulárov (MF SR).
• Elektronické rozhodnutie – musí obsahovať náležitosti stanovené osobitným predpisom, prílohy, použitie schválených elektronické formulárov.
• Elektronické doručovanie – na adresu určenú prijímateľom, – potvrdenie prijatia (elektronicky, písomne, ZEP), – ak sa prijímateľ zaviazal používať el. adresu na doručovanie.
-14-
• Doručovanie prostredníctvom EOS – Doručenie do EOS → považované ako doručenie do vlastných rúk, – platí osobitný predpis (zákon č. 215/2002 Z.z.).
• Vykonávanie úkonov prostredníctvom EOS – Ekvivalencia s listinnou formou, – možnosť hromadného podania (napr.: zákon č. 530/2003 Z.z, zákon č. 200/2011 Z.z), – doručenie cez EOS má povahu podateľne, – zásielka považované za doručenú do 10 dní.
Poznámka: EOS nenahrádza el. podateľňu
-15-
• Úradný záznam – elektronický spis v registratúre, – opatrený časovou pečiatkou a el. podpisom, – príloha musí byť podpísaná ZEP - om.
• Elektronický formulár – modul schválených elektronických formulárov, – použitie schválených formulárov a povinnosť ich prijatia.
• Konverzia dokumentu – – – – –
transformácia z listinnej podoby (entity) do elektronickej podoby, a naopak, zachovanie obsahu, formy, prvkov bezpečnosti, vykonávajú povinné osoby a centrálne prístupové komponenty, obmedzenia (osobitné predpisy, kde je potrebný výlučne originál, ...), listinný dokument → el. dokument → over. doložka → ZEP → overenie → časová pečiatka → záznam o konverzii.
Vykonávací predpis upraví: formáty, obsah a formát doložiek, spôsob vedenia dokum. -16-
•
Právne aspekty konvertovaných dokumentov – – –
•
rovnaké právne účinky ako notársky overená kópia, konverzia nepotvrdzuje správnosť a pravdivosť pôvodného dokumentu, listinný dokument ~ pôvodný elektronický dokument (ak právny predpis nestanoví inak).
Zodpovednosť za škodu – –
–
správa základných registrov, správca sektorového informačného systému, správca schránok.
-17-
2. Zákon o informačnej bezpečnosti – (IB) Legislatívny zámer zákona
1.
- uznesenie vlády SR č. 136/2010 zo dňa 25. februára 2010
Návrh § - ového znenia zákona o IB
2.
- predpokladaná účinnosť rok 2012
Štruktúra návrhu zákona o IB ●
Cieľ zákona Vytvorenie základných podmienok pre zaistenie IB digitálneho priestoru v Slovenskej republike
●
Predmet zákona
Terminológia, kompetencie, štandardy, proces riadenia, klasifikácia IS, postavenie CSIRT.SK, minimálne znalostné štandardy, minimálne bezpečnostné požiadavky pre el. verejnú správu, minimálne požiadavky pre bezpečnosť internetu -18-
•
Vymedzenie základných pojmov – Informačná bezpečnosť: ochrana IS a informácií ktoré sú v nich prenášané a spracovávané, – Digitálny priestor / kybernetický priestor, – Informácia / citlivá informácia / údaj, – Informačné a komunikačné technológie – IKT, – Informačný systém / informačný systém verejnej správy, – Aktívum (to čo inštitúcia vlastní, používa, vytvára, poskytuje a má pre ňu hodnotu) – Dostupnosť / dôvernosť / integrita / autentickosť, – Entita, – Identita / súkromnosť / nepopretie prijatia pôvodu, – Hrozba / nositeľ hrozby / zraniteľnosť / riziko, – Analýza rizík / prijateľné riziko / zvyškové riziko / opatrenie, – Bezpečnostný zámer / bezpečnostná politika, – Klasifikácia / bezpečnostná požiadavka, – Bezpečnostná záruka, – Národná informačná komunikačná infraštruktúra – NIKI. -19-
•
Riadenie a koordinácia IB – MF SR (riadi a koordinuje, monitoruje, kontroluje, určuje, ustanovuje a aktualizuje terminológiu) – CSIRT (špecializovaný útvar pre riešenie počítačových incidentov – štatút) – iné (osobitné predpisy)
•
Kategorizácia informačných systémov verejnej správy – kritické (ich poškodenie má negatívny dosah na iné IS, resp. na KIIŠ, eKII) – Prevádzkové (základná úroveň ochrany, zvýšené požiadavky na bezpečnosť), – povinnosti povinných osôb (bezpečnostný projekt / politika, integrita, dôvernosť, informácie: limitované, verejné, interne prístupné, kategorizácia informácií a IS,.....)
•
Vývoj a obstarávanie ISVS
•
Koordinácia riešenia počítačových incidentov v SR – CSIRT: národný a koordinačný bod pre nahlasovanie incidentov, spravuje systém včasného varovania, zverejňovanie informácií na svojom web - sídle, navrhuje a odporúča, monitoruje, zabezpečuje vzdelávanie v IB (?), zverejňuje kontaktné body, ... -20-
•
Štandardizácia – bezpečnostné normy a štandardy (MF SR, ÚNMS SR, MZ SR, ... )
•
Vzdelávanie a certifikácia osôb v informačnej bezpečnosti – kategorizácia osôb (laický pracovníci, riadiaci pracovníci VS, prevádzkoví pracovníci, pracovníci zodpovední za ochranu IS), – bezpečnostné štandardy
•
Bezpečnosť elektronickej verejnej správy – – – – –
•
komunikácia medzi el. službami a registrami VS minimálne bezpečnostné opatrenia pre základné prístupové komponenty autentifikácia, identifikácia, ZEP audit a kontrola cezhraničné a medzi sektorové elektronické interakcie medzi európskymi inštitúciami VS
Bezpečnosť internetu – – – –
gestor – MF SR kritické zložky ( domény, internetové adresy, protokoly, ...) vypracovanie rezortných zásad a usmernení bezpečné rozpoznávanie doménových mien / požiadavky -21-
•
Štandardizácia – bezpečnostné normy a štandardy (MF SR, ÚNMS SR, MZ SR, ... )
•
Špecifické technológie – Podmienky bezpečného používania identifikačných zariadení
•
Nevyžiadané správy – používanie automatických komunikačných systémov bez ľudského zásahu (pošta, fax) len so súhlasom adresáta – manipulácia s kontaktnými údajmi získanými pri predaji (len so súhlasom), (Smernica EP a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov vzhľadom na spracovávanie osobných údajov a o voľnom pohybe takýchto údajov, L281 / 31)
– sankcie poskytovateľom telekomunikačných služieb pri poskytnutí informácií tretím subjektom zneužívajúcim kontaktné adresy, .....
-22-
•
Požiadavky na proces riadenia informačnej bezpečnosti – – – – – –
•
minimálne požiadavky (výnos MF SR o štandardoch) ciele, požiadavky, rozsah, kompetencie, stanovenie organizačných útvarov, štruktúry a rolí, identifikácia, riadenie a hodnotenie rizík, hodnotenie vplyvov a zraniteľností záväzné bezpečnostné opatrenia vyplývajúce s legislatívy definovanie bezpečnostných mechanizmov (procesné, organizačné, technické)
Kontrolná činnosť – kontrolné právomoci príslušných orgánov (regulačné orgány)
• Splnomocňovacie ustanovenia – – – –
vzdelávanie a certifikácia, bezpečnosť el. verejnej správy (ISVS), Bezpečnostný projekt systému, riadenie IB. -23-
Ďakujeme za pozornosť M. Molnár, J. Hochmann Ministerstvo financií SR Štefanovičova 5 817 82 Bratislava
-24-