1 Slezská univerzita v Opavě, FPF Podklady k přednáškám Studijní obory: IVT, AI Ročník: III. Předmět: IS veřejné správy a sociálních služeb Téma: Agendové IS Vyučující: dr.Blahuta, dr.Kajzar Školní rok:2021 Obsah: 1. Agendové IS (AIS) ............................................................................................................. 1 2. Inf. systémy o ISVS a datových prvcích ............................................................................. 4 3. Systém JIP-KAAS .............................................................................................................. 6 4. Národní identitní autorita (NIA) ....................................................................................... 10 5. Shrnutí k tématu ................................................................................................................ 12 6. Otázky k procvičení .......................................................................................................... 13 1. Agendové IS (AIS) Agenda a agendový IS (AIS):  agenda - z lat. agere, jednat (viz slovník cizích slov), o obor působnosti úřadu, oddělení nebo i jednotlivého referenta, oblast činností, o souhrn případů (bodů) k projednání,  agendový IS (AIS) o IS orgánu veřejné moci, který využívá daný ISVS k výkonu určité agendy. Dle zákona č. 111/2009 Sb., o základních registrech:  § 2 - v tomto zákoně se rozumí:  e) agendou ucelená oblast působnosti orgánu veřejné moci nebo ucelená oblast působení soukromoprávního uživatele údajů,  f) agendovým informačním systémem informační systém veřejné správy, který slouží k výkonu agendy, využívání elektronických formulářů nebo elektronické identifikaci. Způsoby komunikace AIS s ISZR:  použití Centrálních AIS o centrální AISy byly budovány současně se Základními registry VS, o sdílený přístup je většinou realizován formou portálového řešení, o umožňují volání Publikačních služeb (získávání referenčních údajů), 2 o také volání Editačních služeb (aktualizace referenčních údajů), o centrální AISy jsou využívány zejména u agend, kde OVM (orgán veřejné moci) působí v roli editora,  budování Lokálních AIS o jedná se o AIS, které OVM používají pro podporu výkonu svých agend, o obsahují volání eGon služeb pro získávání referenčních údajů. Komunikační schéma pro využívání služeb eGON:  zdroj: https://www.institutpraha.cz/projekty/egovernment-2/agendove-informacni- systemy-a-informacni-systemy-verejne-spravy/ Ukázka katalogu eGON služeb: https://www.szrcr.cz/cs/dulezite-dokumenty/64-popis-hlavicek-egon-sluzeb-2 3 V rámci lokálních agend OVM mohou být nasazeny:  jednoagendové lokální AIS o pro výkon jedné agendy úřadu,  integrované lokální AIS o pro výkon více agend úřadu,  integrační platforma – ESB (Enterprise Service Bus) o jeden logický kanál pro komunikaci lokálních AIS OVM s ISZR, o zajišťuje výměnu informací mezi jednotlivými AISy, o zajišťuje výměna informací mezi dalšími IS úřadu, o zajišťuje napojení místního IDM (Identity Management) systému na JIP/KAAS,  systémy Workflow o systémy pro automatizaci procesů (toků pracovních činností), o slouží ke zefektivnění toku práce v uvnitř i vně agend úřadu. Podmínky pro napojení AIS na ISZR:  úřad musí o mít oznámenou působnost ve všech agendách, které AIS obsahuje, o seznámit se s dokumentací Správy ZR pro správce AIS a zavázat se tuto dokumentaci a pravidla dodržovat, o přijmout svou odpovědnost za jednoznačnou autentizaci a autorizaci všech osob, které budou v zaregistrované agendě pomocí AIS přistupovat ke službám ZR,  AIS musí o být zaregistrován v IS o ISVS, o splňovat stanovené podmínky a požadavky na AIS, o být řádně otestován v testovacím prostředí. Registrace AIS v IS o ISVS:  registrace agend je proces probíhající v působnosti Ministerstva vnitra ČR,  registrací AIS v IS o ISVS získá každý AIS svůj jednoznačný identifikátor AIS_ID,  registrace AIS v IS i ISVS zahrnuje přidělení dalších parametrů o IČ úřadu, IČ správce AIS, o SN číslo certifikátu (SerialNumber), o Seznam agend v AIS. 4 Připomenutí - další způsoby připojení uživatele k ISZR:  systémem Czech POINT o na základě formuláře žádosti a formuláře odpovědi,  prostřednictvím Datových schránek o na základě formuláře žádosti a formuláře odpovědi. 2. Inf. systémy o ISVS a datových prvcích Informační systém o ISVS:  slouží ke sběru a poskytování informací o IS veřejné správy,  jedná se o základní informace o ISVS a informace o dostupnosti ISVS,  viz http://hosting0-105.qcm.cz/informacni-system-o-informacnich-systemech-verejne- spravy Význam IS o ISVS:  jeho úloha vyplývá ze zákona č. 365/2000 Sb., o ISVS,  každý ISVS musí být nahlášený a zaregistrovaný v IS o ISVS,  IS o ISVS spravuje a provozuje Ministerstvo vnitra ČR,  každý OVM může ověřit svoje registrované IS ve veřejně dostupném IS o ISVS,  viz https://www.sluzby-isvs.cz 5 IS o datových prvcích (ISDP):  viz https://www.sluzby-isvs.cz/ISDP/DefaultSSL.aspx  aplikace ISDP poskytuje oficiální informace o datových prvcích ISVS,  slouží k vyhlašování datových prvků a zveřejňování číselníků,  datové prvky vyhlášené v ISDP jsou pro orgány veřejné správy a vazby jejich IS závazné. Příklady datových prvků (DP):  ADRESA SUBJEKTU V ŽR,  ADRESA TEXTEM,  BANKOVNÍ SPOJENÍ,  Bankovní účet v ČR,  Cizozemské daňové identifikační číslo,  Rodné číslo,  ... Na stránkách ISDP lze mimo jiné vypsat:  seznam datových prvků, o JeDP - Jednoduchý DP, o SlDP – Složený DP,  seznam datových slovníků o datový slovník – specifikuje, definuje a poskytuje seznam DP,  seznam číselníků JeDP o číselník DP – seznam přípustných hodnot DP. U každého DP jsou vedené atributy:  Kategorie, název, Identifikátor, Verze, Datum vytvoření, Správce dat. prvku, Datový slovník, Stav, Typ,  např. SlDP (složený DP), Bankovní účet v ČR, AC1555, 1, 21.05.2012, Ministerstvo průmyslu a obchodu, DP pro jednotný registrační formulář centrálních registračních míst, Vyhlášen, Nový,  rozkliknutím „Bankovní účet v ČR“ lze získat detailní výpis o tomto datovém prvku. 6 Uživatelská dokumentace k ISDP:  https://www.sluzby-isvs.cz/ISDP/Dokumentace/ISDP_UP_20000_100_POS.pdf 3. Systém JIP-KAAS Systém JIP-KAAS:  http://www.czechpoint.cz/public/vyvojari/jip-kaas/ JIP - Jednotný Identitní Prostor:  zabezpečený adresář orgánů veřejné moci a uživatelských účtů úředníků,  obsahuje identitní, autentizační a autorizační informace o uživatelích ISVS,  informace o rolích uživatelů vzhledem k ISVS,  z hlediska technického řešení - je součástí systému Czech POINT. KAAS - Katalog Autentizačních a Autorizačních Služeb:  obsahuje informace o poskytovaných autorizačních a autentizačních službách,  jde o informace o rozhraních služeb, které umožňují o autentizaci uživatelů přistupujících do AIS či ISVS pomocí přihlašovacích údajů v JIP, o editaci údajů subjektů a uživatelských účtů v JIP, o implementaci registračních procesů a výkon identifikačních, autentizačních a autorizačních procesů. JIP/KAAS jako technická součást systému Czech Point: Registrace AIS do JIP:  aby AIS či ISVS mohl využívat rozhraní JIP/KAAS musí jeho správce provést tzv. registraci AIS do JIP,  registrace se provede pomocí elektronického formuláře pro registraci AIS do JIP a základních registrů. Czech Point KAAS JIP 7 Testovací prostředí JIP:  po vyvinutí aplikace, komunikující s rozhraním JIP/KAAS, může vývojář provést otestování této aplikace v testovacím prostředí JIP,  žádost o zřízení testovacího prostředí JIP vývojář podává pomocí samostatného elektronického formuláře, v němž si definuje parametry testovacího prostředí. Schéma způsobů přístupů AIS k ISZR: 1. způsob napojení AIS -> ISZR:  AIS je přímo registrovaný v ISZR,  AIS nemá vlastní správu uživatelů, využívá JIP/KAAS, úředník AIS ISZR JIP/KAAS 8  úředník se hlásí k AIS o AIS provede autentizaci a autorizaci přístupu pomocí JIP/KAAS, o AIS s přidělenými právy (autorizace) pak přistupuje k ISZR, 2. způsob napojení AIS -> ISZR:  úředník se hlásí k AIS, který je registrovaný v JIP,  AIS provede autentizaci a autorizaci přístupu pomocí JIP/KAAS,  AIS se hlásí k ISZR s využitím služeb JIP/KAAS Czech POINTu. 3. způsob napojení AIS -> ISZR:  úředník se hlásí k ISZR přes CzP@office s využitím funkce Přístup k ISRZ,  spojení CzechPOINT@office -> JIP/KAAS -> ISZR.  úředník tedy pracuje s IS přes rozhraní CzP@office, tedy mimo AIS. Proces správy uživatelů a AIS: Přínosy JIP/KAAS:  všichni uživatelé a všechny aplikace registrované v JIP používají jeden registrační proces aplikace (AISy se registrují v JIPu povinně všechny),  jeden proces správy životního cyklu aplikace, úředník CzP@office ISZRJIP/KAAS úředník AIS ISZRslužby JIP/KAAS registrace AIS do ISZR nastavení AIS pro komunikaci s KAAS registrace AIS do JIP povolení přístupů do AIS pro daný OVM přidělení přístupů a rolí do AIS uživatelům přihlášení a práce v AIS 9  jeden proces správy životního cyklu uživatelů,  provozovatel AISu neřeší správu uživatelů, protože tu zajišťují nástroje JIP,  uživatelé přistupující do AIS jsou autentizováni prostřednictvím služeb KAAS. Co když AIS nevyužívá služeb JIP/KAAS ?  AIS musí obsahovat vlastní řešení pro správu uživatelů, tj. o zavedení nového uživatele, o změny a rušení uživatelů, o řešení expirace hesel a reset hesel, o správu aplikačních rolí, o správu agendových činností (práv) pro jednotlivé role, o průkazný auditní log, o dokumentace a školení pro uživatele,  odpovědnost za údaje a procesy nese provozovatel AIS. Současný postoj k JIP/KAAS:  viz https://www.isss.cz/do/watch?id=62  systém JIP/KAAS funguje spolehlivě asi 10 let, ale ...  je využíván pouze některými ISVS,  dnes již zastaralé řešení – již nevhodná architektura, komplikované a proprietární API,  z pohledu bezpečnosti autentizace z dnešního pohledu velmi „na hraně“,  ze strany MVČR minimální prosazování do zbytku veřejné správy, ...  nové řešení -> využití jednotné identifikace přes tzv. NIA. 10 4. Národní identitní autorita (NIA) Zásady pro přihlašování uživatelů k ISVS:  všechna podání do VS (kromě anonymních) se musí provádět jménem žadatele,  pokud je podání činěno vzdáleně, je třeba mít spolehlivou vzdálenou el. identifikaci,  hovoříme o tzv. elektronické identitě – eIdentita. Potřeba jednotné identifikační a autorizační služby:  protože se úkon přihlašování neustále opakuje (různí žadatelé do různých agend), je vhodné, aby vzdálená identifikace byla univerzální sdílenou službou,  tj. službou poskytující spolehlivou autentizaci jako subdodávku pro další volající služby. Národní identitní prostor – Národní identitní autorita (NIA):  jednotný bod elektronické identifikace a autorizace pro služby ISVS v ČR,  systém pro bezpečné a zaručené ověření totožnosti uživatele online služeb VS,  poskytovatelé online služeb VS potřebují zaručenou informaci o tom, kdo se jako klient přihlašuje k jimi poskytovaným službám,  princip NIA je založen na součinnosti 3 skupin subjektů o 1. kvalifikovaných poskytovatelů online služeb VS (SeP – Service Provider), o 2. kvalifikovaných správců služeb poskytování identity (IdP – Identity provider), o 3. systému NIA, což je centrální systém pro ověřování identity občana,  systém NIA je zřízen zákonem č. 250/2017 Sb., o elektronické identifikaci, který zároveň stanovuje pravidla pro účastníky procesu elektronické identifikace,  správce (provozovatel) NIA - Správa základních registrů ČR. K prokazování totožnosti online slouží:  schválené identifikační prostředky, o jejichž poskytovatelé získali akreditaci a jsou napojeni na NIA,  např. nový občanský průkaz s čipem, který je vydáván od 1. 7. 2018,  nebo přihlášení pomocí uživatelského účtu Národní identitní autority, 11 Zdroje dalších informací:  http://www.szrcr.cz/pro-media/verejne-predstaveni-narodni-identitni-autority  https://www.eidentita.cz/Home  https://info.eidentita.cz/ups/ NIA a poskytovatelé služeb VS:  schéma z prezentace Elektronická identifikace prostřednictvím NIA, o ing. Kuchař, hlavní architekt eGovernmentu, Příklad identifikace a autorizace občana přistupujícího ke službám ČSSZ:  z prezentace Národní Identitní prostor ČR, o ing. Kuchař, hlavní architekt eGovernmentu,  SeP – Service Provider, poskytovatel služby VS, např. ČSSZ,  IdP – Identity Provider, správce služby pro poskytování identity, o poskytuje důvěryhodnou službu identifikace a autentizace fyzické osoby pomocí vydaných prostředků identifikace a autentizace,  NIA - řídí komunikaci při autentizaci, zná poskytovatele obou typů (SeP, IdP). 12 Navazující projekt SONIA:  Soukromoprávní NIA - soukromý identitní systém bank propojit na NIA,  vybrané banky budou moci poskytovat ověření identity občana jako službu,  vybrané banky – tj. banky, kterým stát „věří“ a uzavře s nimi potřebnou smlouvu,  bankovní identita jako "nová digitální občanka", o když mě věrohodně ověří banka – mohla by mě pustit i ke službám VS, o ztotožnění identity občana v bance a na úřadě (eObčanka), Další informace k SONIA:  viz dále téma „Současné trendy a projekty v ISVS“. 5. Shrnutí k tématu Shrnutí hlavních bodů tématu:  agendové IS (AIS),  způsoby připojení AIS k ISZR,  systémy IS o ISVS, ISDP,  IDM (Identity Management) systém JIP/KAAS,  Národní identitní agentura (NIA). 13 Schéma základních vazeb ISVS: 6. Otázky k procvičení 1) Jakými třemi způsoby může uživatel (úřad) komunikovat s ISZR? 2) Charakterizujte pojem Agendový IS a uveďte příklady. 3) Jakými způsoby komunikují agendové IS s ISZR? 4) Co rozumíme pod pojmem integrační platforma a k čemu slouží? 5) Jaké jsou podmínky pro napojení AIS na ISZR? 6) K čemu slouží IS o ISVS? Kde lze nalézt seznam ISVS? 7) K čemu slouží IS o datových prvcích (ISDP)? 8) Popište účel a přínosy systému JIP/KAAS. 9) Uveďte způsoby přístupů AIS k ISZR s využitím či bez využití JIP/KAAS. 10) K čemu slouží elektronická identita občana? Uveďte příklady. 11) Vysvětlete pojem Národní identitní autorita (NIA) a princip jejího využití. Portál veř. správy ISZR ROS, ROB, RÚAN, RPP JIP/KAAS ISDS IS o ISVS, ISDP seznam OVMISVS OVM Czech Point Czech Point@Office další AIS a ISVS výpisy Katastr nemovitostí Živnostenský rejstřík Centrální registr řidičů IS o veř. zakázkách Insolvenční rejstřík .... ISVS agendy pro vnitřní použití na úřadech