1 Slezská univerzita v Opavě, FPF Podklady k přednáškám Studijní obory: IVT, AI Ročník: III. Předmět: IS veřejné správy a sociálních služeb Téma: Zavádění a provoz ISVS Vyučující: dr.Blahuta, dr.Kajzar Školní rok:2021 Obsah: 1. Rekapitulace základní legislativy k ISVS ........................................................................... 1 2. Informační koncepce ISVS ................................................................................................. 3 3. Procesy životního cyklu ISVS ............................................................................................ 5 4. Cíle řízení kvality ISVS ...................................................................................................... 6 5. Cíle řízení bezpečnosti ISVS .............................................................................................. 7 6. Provozní dokumentace k ISVS ........................................................................................... 9 7. Národní agentura NAKIT ................................................................................................. 10 8. Shrnutí k tématu ................................................................................................................ 11 9. Otázky k procvičení .......................................................................................................... 12 1. Rekapitulace základní legislativy k ISVS Zákon č. 365/2000 Sb., o informačních systémech veřejné správy:  hlavní a zastřešující právní předpis stanovující povinnosti v oblasti ISVS,  určuje regulační rámce pro fungování ISVS a jejich vazeb,  hlavní řešené oblasti o Vymezení pojmů, o Informační systémy veřejné správy, o Práva a povinnosti Ministerstva vnitra ČR, o Práva a povinnosti orgánů veřejné správy, o Dlouhodobé řízení informačních systémů veřejné správy, o Kontrola dodržování povinností orgánů veřejné správy, o Atestace dlouhodobého řízení a akreditace, o Provádění atestací, o Povinnosti orgánů veřejné správy, které jsou správci nebo provozovateli IS,  další oblasti, např. o Centrální místo služeb, o Portál veřejné správy, o Kontaktní místa veřejné správy, .... ... 2 o Vydávání ověřených výstupů z informačních systémů veřejné správy. Zákon č. 111/2009 Sb., o základních registrech:  určuje obecné věci týkající se základních registrů veřejné správy,  podrobnosti k jednotlivým registrům,  povinnosti orgánů veřejné moci týkající se využívání základních registrů a referenčních údajů ze základních registrů při výkonu veřejné správy. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů,  ustanovuje datové schránky, jejich zřízení, fungování a způsob komunikace,  definuje institut autorizované konverze dokumentů, její přesný postup a podmínky za jakých může být prováděna. Další zákony:  zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů,  zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, Návazné vyhlášky, např.:  Vyhláška č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích,  Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy,  Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní,  ... 3 Návazné metodické pokyny, např.:  Metodický pokyn MV: Co je a co není ISVS,  Metodický pokyn MV: Jak postupovat při plnění povinností vyplývajících ze zákona è. 365/2000 Sb., o ISVS ve znění pozdějších předpisů v oblasti ISVS,  Metodický pokyn MV: Řízení kvality ISVS,  Podmínky pro připojení AIS do ISZR,  Procesní model MV: Dlouhodobé řízení ISVS,  Metodika tvorby XML schémat v oblasti ISVS,  Metodický pokyn pro popis datových prvků,  ... 2. Informační koncepce ISVS Obecně k informační koncepci podniku / organizace:  pojem informační koncepce (resp. informační strategie). Využití inf. strategie pro další vývoj a nasazování IS: Podniková (podnikatelská) strategie Informační strategie podniku Analýzy trendů v oblasti IS/IT IK ISVS Informační strategie na r. 2015 – 2020 .... Schváleno Finance Úvodní studie systému XY Další vývoj IS 4 Základní náležitosti v IK ISVS:  charakteristika každého ISVS,  charakteristika jeho současného stavu a předpokládané změny v tomto systému,  záměry na pořízení nebo vytvoření nových ISVS,  vazby ISVS na povinně využívané IS o např. napojení na základní registry, vztah se spisovou službou apod.,  dlouhodobé cíle v oblasti řízení kvality ISVS,  dlouhodobé cíle v oblasti řízení bezpečnosti ISVS,  soubor základních pravidel pro správu ISVS, o včetně postupů, které vedou k jejich naplňování,  způsob financování záměrů dlouhodobých cílů,  postupy při vyhodnocování dodržování informační koncepce a při jejím provádění,  funkční zařazení zaměstnance, určení jiné fyzické osoby, resp. název organizačního útvaru, který řídí provádění činností vedoucích k dosažení cílů IK,  doba platnosti informační koncepce (IK). Příklad struktury dokumentu IK:  1. Základní informace o informační koncepci,  2. Informační systémy ve správě orgánů veřejné správy,  3. Záměry na pořízení nebo vytvoření nových informačních systémů,  4. Řízení kvality ISVS,  5. Řízení bezpečnosti ISVS,  6. Zásady a postupy pro správu ISVS,  7. Způsob financování ISVS,  8. Naplňování informační koncepce,  9. Zodpovědnosti org. jednotek a útvarů v souvislosti s IK a plněním zákonem stanovených úkolů. Atestace dlouhodobého řízení IS a vazeb IS:  prověření shody řešení IS s požadavky,  atestace způsobilosti k realizaci vazeb ISVS s jinými IS,  atestace dlouhodobého řízení ISVS,  atest může vydat pouze akreditované atestační středisko, 5  atestační středisko provádí atestace na základě smlouvy uzavřené s žadatelem o atestaci za úplatu. Příklady vzorových osnov IK ISVS:  viz přílohy eLearningového kurzu z www.institutpraha.cz 3. Procesy životního cyklu ISVS Základní procesy životního cyklu ISVS:  pořizování a vytváření ISVS,  správa a provozování ISVS,  financování pořizování, vytváření, rozvoje a provozu ISVS. Pořizování a vytváření ISVS:  ISVS dodá externí dodavatel,  ISVS vytvoří zaměstnanci vlastního vývojového střediska. Definování potřeby ISVS:  analýza výchozího stavu,  stanovení cílového stavu ISVS,  analýza zdrojů pro jeho pořízení nebo vytvoření o zdroje technické, finanční, personální, ...  stanovení kvalitativních požadavků,  stanovení požadavků na zajištění bezpečnosti,  analýza důsledků, které pořízení nebo vytvoření ISVS může vyvolat o přínosy pro organizaci, pro „business“, o možná provozní či bezpečnostní rizika. Správa a provozování ISVS:  zajištění provozu a údržby ISVS – tzv. správa, administrace IS,  vytváření a údržba provozní dokumentace, vyhodnocování jejího dodržování,  řízení změn v ISVS,  řízené ukončení činnosti ISVS. pořízení správa financování 6 Klíčové role pro provoz ISVS:  správce ISVS (gestor) o pověřený útvar (pracovní role), jemuž agenda daného IS + data patří, o je zodpovědný za celý ISVS, včetně provozní dokumentace, o určuje pravidla fungování ISVS a vazeb,  provozovatel ISVS o na základě smlouvy či zákona provozuje ISVS dle stanovených pravidel správce, o zajišťuje technickou správu (administraci) a provoz IS, o spolu se správcem-gestorem aktualizuje provozní dokumentaci. Pro každý ISVS musí být jasně vymezené role fyzických osob:  správce (administrátor) systému o zaměstnanec nebo jiná fyzická osoba, která zajišťuje řízení provozu ISVS, o tj. ve smyslu provozní (systémový) administrátor,  bezpečnostní správce systému o zaměstnanec nebo jiná fyzická osoba, která zajišťuje kontrolu bezpečnosti ISVS,  tyto role jsou jednoznačně stanovené i v provozní dokumentaci ke každému ISVS. 4. Cíle řízení kvality ISVS Řízení kvality ISVS zahrnuje:  řízení kvality dat,  řízení kvality služeb IS. Cíle z oblasti zajištění kvality dat:  aktuálnost dat,  správnost dat,  integrita dat,  stanovení odpovědnosti. Cíle z oblasti zajištění kvality služeb:  dostupnost služeb,  přehlednost služeb,  srozumitelnost služeb, kvalita 7  přístupnost pro handicapované,  kompatibilita s běžně používanými klientskými prostředími a standardy,  kvalita technických prostředků,  kvalita programových prostředků. Plán řízení kvality ISVS:  řízení kvality ISVS jako proces – dokumentovaný, optimalizovaný, řízený, ...  plán řízení kvality - popis činností, které orgán VS vykonává pro naplnění stanovených cílů kvality. 5. Cíle řízení bezpečnosti ISVS Cíle z oblasti zajištění bezpečnosti dat ISVS:  dostupnost dat (availability) o data jsou uživatelům k dispozici v době, kdy mají být k dispozici,  důvěrnost dat (credibility) o aplikace základních atributů zabezpečení přístupu, o identifikace - každý uživatel je jednoznačně identifikován, o autentizace - uživatel prokáže svoji totožnost (heslem, otiskem prstu apod.), o autorizace - každý uživatel je oprávněn k úkonům odpovídajícím roli, kterou zastává,  integrita dat (integrity) o celistvost, soudržnost dat a jejich vazeb. Cíle z oblasti zajištění bezpečnosti služeb:  zajištění dostupnosti služeb o tj. technických a programových (SW) prostředků,  zajištění důvěryhodnosti služeb o tj. technických a programových (SW) prostředků,  zajištění integrity služeb o tj. technických a programových (SW) prostředků. bezpečnost (CIA) 8 Zajištění dostupnosti technických prostředků:  záložní zdroje napájení,  záložní síťová připojení,  zabezpečení dostupnosti hardware duplikováním či násobením důležitých prvků (clustery apod.),  umístěním záložních zařízení do geograficky různých lokalit,  ... Zajištění dostupnosti programových prostředků:  používání výrobcem certifikovaných softwarových komponent (ovladače apod.),  testování a včasná aplikace záplat programového vybavení (patche),  nasazení prostředků monitorování provozu a včasného upozornění jak na prostředky vlastního informačního systému, tak i na prostředky síťové infrastruktury,  použití nástrojů softwarové ochrany (antiviry apod.),  logické umístění do bezpečné zóny sítě, pokud je to možné (intranet, DMZ),  ... Důvěrnost technických prostředků zahrnuje:  fyzickou bezpečnost o umístění technických prostředků do zabezpečeného prostoru, o fyzická ochrana techn. prostředků před riziky prostředí, o další opatření ...  zabezpečení používané telekomunikační infrastruktury o nastavení switchů, routerů apod. Důvěrnost programových prostředků:  zajištění odolnosti proti úmyslně či neúmyslně chybným vstupním datům o např. odolnost proti buffer overflow, SQL injection apod. útokům,  zajištění ochrany proti parazitním kódům,  zajištění ochrany proti podvržení identity spolupracujících systémů. 9 Integrita technických prostředků se týká:  ochrany proti přetížení,  ochrany proti zničení či poškození. Integrita programových prostředků zahrnuje:  ochranu proti smazání softwarové komponenty,  ochranu proti modifikaci či podvržení softwarové komponenty,  ochranu proti modifikaci konfigurace softwarové komponenty. 6. Provozní dokumentace k ISVS Základní druhy provozní dokumentace k ISVS:  bezpečnostní dokumentace,  systémová příručka,  uživatelská příručka. Bezpečnostní dokumentace ISVS:  bezpečnostní politika ISVS,  bezpečnostní směrnice pro činnost bezpečnostního správce systému. Systémová příručka ISVS:  popis funkcí, včetně bezpečnostních, které používá správce systému pro provádění určených činností v ISVS, návod na použití těchto funkcí,  parametry kvality, které vycházejí z požadavků na kvalitu ISVS (podle IK),  podrobný popis ISVS nebo odkaz na dokument, ve kterém je popis uveden a který je správci systému dostupný,  popis jednotlivých činností vykonávaných při správě ISVS,  určení fyzických osob, které tyto činnosti vykonávají, a oprávnění nezbytných pro výkon těchto činností,  definování uživatelů nebo skupin uživatelů a jejich oprávnění a povinnosti při využívání ISVS. 10 Uživatelská příručka ISVS:  je primárně určena pro uživatele IS, ať již jsou jimi konkrétní fyzické osoby, anonymní uživatelé, či orgány veřejné správy, které daný ISVS používají,  popis funkcí, včetně bezpečnostních, které používá uživatel pro svou činnost v ISVS, návody na použití těchto funkcí,  vymezení oprávnění a povinností uživatelů ve vztahu k ISVS. Příklady provozních řádů k ISVS:  Provozní řád ISVS,  Provozní řád ISDS. 7. Národní agentura NAKIT NAKIT:  podle http://www.nakit.cz/o-agenture-nakit  Národní agentura pro komunikační a informační technologie (NAKIT),  státní agentura, která vznikla na základě usnesení Vlády ČR č. 1065 ze dne 21. prosince 2015,  zřizovatelem NAKIT je Ministerstvo vnitra ČR,  k 1.7.2016 se NAKIT sloučil se státním podnikem Česká pošta, s.p., Odštěpný závod ICT služby. Poslání agentury NAKIT:  zajistit pro svého zřizovatele dlouhodobý a koncepční rozvoj informační a komunikační infrastruktury ve vlastnictví státu tak, aby veškeré budoucí investice do této oblasti byly podřízeny jednotné strategii. Hlavní úkoly agentury NAKIT:  mapování existující informační a komunikační infrastruktury veřejnoprávních institucí a jejich budoucích potřeb v této oblasti,  na základě analýzy těchto informací NAKIT tvoří strategie rozvoje neveřejných komunikačních sítí, včetně návrhů implementace vhodných bezpečnostních opatření,  následně připravuje doporučení a metodiky pro realizaci výstavby neveřejných sítí s cílem dosáhnout co největší míry synergických efektů a tudíž i finančních úspor. NAKIT 11 Úkoly NAKIT v oblasti provozu IT:  zajistit provoz komunikačních sítí pro potřeby složek integrovaného záchranného systému,  provoz a rozvoj vybraných informačních systémů státní správy,  bezpečnostní dohled nad provozovanými IS a IT. Realizované projekty a služby NAKIT:  podle http://www.nakit.cz/projekty-a-sluzby  realizace a provoz svěřených komunikačních systémů o Komunikační infrastruktura veřejné správy, o Datové sítě MV (Ministerstvo vnitra), o Mobilní sítě IZS (Integrovaný záchranný systém), o Informační systémy VS,  realizace a provoz svěřených Informačních systémů o Národní informační systém IZS, o Informační systém o státní službě, o Centrální místo služeb (CMS), o Dohledové centrum pro provoz ICT systémů a kybernetickou bezpečnost. 8. Shrnutí k tématu Přehled hlavních bodů tématu:  rekapitulace základní legislativy k ISVS,  informační strategie organizace/podniku -> IK ISVS,  procesy životního cyklu ISVS – pořízení, správa, financování,  cíle řízení kvality ISVS – kvalita dat, kvalita služeb,  cíle řízení bezpečnosti ISVS – důvěrnost, integrita, dostupnost (CIA),  provozní dokumentace k ISVS,  agentura NAKIT a její úkoly. 12 9. Otázky k procvičení 1) Ze kterých základních zákonů vychází koncepce ISVS? 2) Co je to informační strategie organizace (podniku), na základě čeho se zpracovává a co je jejím obsahem? 3) Vyjmenujte alespoň několik bodů obsahu IK ISVS. 4) Popište proces životního cyklu ISVS. 5) Které klíčové role pro provoz ISVS znáte? 6) Uveďte hlavní cíle řízení kvality ISVS a vysvětlete je. 7) Uveďte hlavní cíle řízení bezpečnosti ISVS a vysvětlete je. 8) Které druhy provozní dokumentace k ISVS rozlišujeme? 9) Charakterizujte obsah systémové a uživatelské příručky k ISVS. 10) Co je to agentura NAKIT, jaké jsou její hlavní úkoly a realizované projekty?