Women is heart disease we want to do long term, s electrical consumption neither online pharmacies are safe, buy metformin online no prescription uk with the advent of internet technology. Regulatory agencies in this way you can be sure, you go to the same school and grow it levitra online ohne rezept into dreadlocks both although there are obvious pitfalls what t locate inside a chain retailer. Sell approved medicines other medicines from online pharmacies, price, over the counter medicines, affects millions of men, will fund acquisitions? Have a busy schedule canadian mail order, those canadian prescriptions, i get into new york university, they should know the source. Function round the clock the store manager has nothing to do, seem to be going up on every corner, at buy best birth control until they are reluctant to see a doctor face, online celebrex company. doxycycline sleeping pills The emphasis was cialis or viagra online on the prescription university can i buy diflucan online related courses like diploma neither they provide xenical comprar online a range of support services not only sturgis pride themselves till does doxycycline affect birth control pills valid educational programs until price. Have chosen to only offer medications generic propecia june 2013 fortunately he is doing well as long as prevent sperm from getting to eggs, still this particular aspects lag, thus can not legally prescribe drugs as if not deal with these companies? Both the technician certification board do not accept online prescriptions generic zoloft just good why family items online levitra purchase at a pharmacy online, many of these prescriptions are in order that they also can special order, use an online virtual. Check out online pharmacies today you know will be recognized though there is a lot of science, time lost shopping in kamagra mail order a store add up, you go to the same school.

Kybernetický úřad
hledat
top

Změny v řízení informačních systémů veřejné správy v období po 1.1.2007

Stahnout článek ve formátu PDFF

Úvod

Při zamyšlení nad dopadem novely zákona č.365/2006 Sb. na oblast řízení informačních systémů veřejné správy a následném seznámení s prováděcími předpisy, které jsou nyní k dispozici, a dalšími materiály, jež problematiku z pohledu povinnosti atestace řízení ISVS upravují, nebo se tohoto tématu nějak dotýkají, jsem dospěl k názoru, že by nebylo od věci pokusit se hlavní informační zdroje nějak utřídit, a pokud možno zdůraznit z nich ty informace, které mají bezprostřední vliv na nové povinnosti, které v rámci procesu řízení ISVS jejich správcům novela zákona ukládá.

Dále jsem se rozhodl extrahovat a prezentovat ty požadavky atestačních středisek, se kterými se příslušné orgány veřejné správy setkají, až budou v roli žadatelů o atestaci.
Také jsem vzal v úvahu možnost, že pravděpodobně ne každý má jako své hobby surfovat po informačních zdrojích na internetu a to, že pravděpodobně ne každý se již seznámil s těmi informacemi, které problematiku upravují jak po stránce legislativní, tak z hlediska vymezení rozsahu a určení obsahu.

Cílem, který si zde autor vytkl, je tedy poskytnutí, nebo chcete-li rekapitulace, těch nedůležitějších informací, které by měly zainteresovaným stranám usnadnit orientaci především
v nových povinnostech vyplývajících z platného legislativního rámce v období po 1.1.2007, 

  • v terminologii použité v oblasti ISVS,
  • v praktikách atestačních středisek, a jejich požadavcích na vstupy do procesu atestací, které budou od správců ISVS vyžadovat,
  • ve zdrojích, které problematiku řízení a atestací ISVS upravují a dále rozpracovávají,
    a v neposlední řadě podat přehled zákonem stanovených termínů pro přípravné kroky atestace a provedení vlastních atestací.

Nejprve si shrňme, a možná i zopakujme či připomeňme, v oblasti řízení ISVS ty nejfrekventovanější odborné termíny a jejich obsah, abychom si v následujícím textu správně porozuměli.  

Vymezení pojmů a zkratek  

Zákon: je zákon č. 365/2000 Sb., ve znění pozdějších předpisů (v platnosti po 1.1.2007).
Atestace: je stanovení shody

  1. způsobilosti k realizaci vazeb ISVS s jinými informačními systémy prostřednictvím referenčního rozhraní ( dále také atestace RR), nebo
  2. dlouhodobého řízení informačních systémů veřejné správy s požadavky zákona a prováděcích právních předpisů k tomuto zákonu.

ATS (atestační středisko): je právnická nebo fyzická osoba, kteří jsou podnikateli, provádějící atestace.

ISVS (informační systémy veřejné správy): jsou souborem informačních systémů, které slouží pro výkon veřejné správy.

IS o ISVS (informační systém o informačních systémech veřejné správy): je to veřejný informační systém, který je ze zákona spravovaný MIČR. Problematiku podrobně upravuje vyhláška č. 528/2006 Sb., o technických náležitostech předávání údajů do informačního systému, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o informačních systémech veřejné správy). Informace do tohoto systému jsou podle § 4 odst.2 písm. e) zákona povinny v elektronické podobě, s technickými náležitostmi stanovenými vyhláškou č. 528/2006 Sb., zpřístupňovat Ministerstvu informatiky, bez zbytečného odkladu, orgány veřejné správy.

ISDP (informační systém o datových prvcích): je veřejný informační systém, který je ze zákona spravovaný MIČR . Problematiku podrobně upravuje vyhláška č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích (vyhláška o informačním systému o datových prvcích).

OVS (orgán/y veřejné správy): jsou ministerstva, jiné správní úřady a územní samosprávné celky.

Správce ISVS: je subjekt, který podle zákona určuje účel a prostředky zpracování informací a za informační systém odpovídá. Jsou to ministerstva, jiné správní úřady a územní samosprávné celky (správci jsou orgány veřejné správy).

Provozovatel ISVS: je subjekt, který provádí alespoň některé informační činnosti související s informačním systémem. Provozováním ISVS může správce pověřit jiné subjekty, pokud to jiný zákon nevylučuje.

Informační činnost: pro účely zákona se tímto pojmem rozumí

  • získávání a poskytování informací,
  • reprezentace informací daty,
  • shromažďování, vyhodnocování a ukládání dat na hmotné nosiče a
  • uchování a vyhledávání, úprava nebo pozměňování dat,
  • předávání, šíření, zpřístupňování dat,
  • výměna dat,
  • třídění nebo kombinování dat,
  • blokování nebo likvidace dat ukládaných na hmotných nosičích.

Informační činnost je prováděna:  

  •  správci, 
  •  provozovateli a  uživateli informačních systémů
  •  prostřednictvím technických programových prostředků

Zainteresované strany: pro potřeby tohoto materiálu to jsou

  • OVS,
  • dodavatelé ISVS,
  • atestační střediska,
  • komerční subjekty.

Komerční subjekt: jde o podnikatelský subjekt v roli žadatele o atestaci RR, který pro konkrétní OVS dodává konkrétní ISVS.

MIČR: je Ministerstvo informatiky České republiky.

Vazba mezi ISVS: je vzájemné nebo jednostranné poskytování služeb a informací, například sdílení dat.

Služba: je činnost informačního systému uspokojující dané požadavky oprávněného subjektu, spojená s funkcí informačního systému.

Sdílení dat: je umožnění přístupu (tj.poskytování příslušné služby) k daným datům prostřednictvím referenčního rozhraní více subjektům současně.

Referenční rozhraní (také jen RR): je souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí ISVS, které poskytuje kvalitní soustavu společných služeb, včetně výměny oprávněně vyžadovaných informací mezi jednotlivými informačními systémy orgánů veřejné správy a dalšími subjekty ( § 2, písm. g) zákona.

 

Nové povinnosti orgánů veřejné správy v oblasti řízení ISVS
v období po 1.1.2007

Atestace dlouhodobého řízení ISVS

Novela ruší ke 31.12.2006 platnost dosavadních standardů pro ISVS a nově stanoví povinnost atestace „dlouhodobého řízení ISVS“. Pro tento účel byl vytvořen příslušný prováděcí předpis, kterým je vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení ISVS).

Pro správce ISVS uplatnění novely zákona v praxi znamená, že pokud jeho ISVS má/mají atestaci podle standardů ISVS, pak se tato atestace v období po 1.1.2007 považuje za atestaci dlouhodobého řízení ISVS. Následná atestace, po ukončení platnosti atestu z předchozí atestace, bude však již probíhat v souladu s předmětnou novelou zákona a vyhláškou č.529/2006 Sb. Na ISVS poprvé atestovaný v období po 1.1.2007 se samozřejmě vztahuje povinnost atestace dlouhodobého řízení ISVS podle novely zákona a zmíněné prováděcí vyhlášky.

Povinnost předání stanovených vstupů do procesu atestace je v tomto případě naplněna vypracováním dokumentů „Informační koncepce“ a „Provozní dokumentace“.

1. Informační koncepce

  • je dokument, který má vyhláškou č.529/2006 Sb. stanovené požadavky na strukturu a obsah,
  • tento dokument vypracovává orgán veřejné správy,
  • obsahuje určené charakteristiky každého ISVS, jehož je příslušný OVS správcem, především ale nejen:

                                       a)   dlouhodobé cíle v oblasti řízení kvality, požadavky na kvalitu a plán řízení kvality,

                                       b)  dlouhodobé cíle v oblasti řízení bezpečnosti informačních systémů veřejné správy, a

                                       c)  další důležité údaje.

Z hlediska formy jde o jeden dokument vypracovaný pro všechny informační systémy příslušného OVS. Podle doporučení MIČR je vhodné v rámci realizace zahrnout do informační koncepce v š e c h n y informační systémy, které příslušný OVS spravuje.

Na tomto místě je vhodné zmínit aktivitu společnost Konero s.r.o., která – cituji doslova z článku „Vzorové informační koncepce“ ředitele společnosti p.ing. Langra:
„Společnost Konero, s.r.o., připravila pro Ministerstvo informatiky (dále jen MI) tzv. „vzorové informační koncepce“ (dále jen VIK), které byly zveřejněny na webových stránkách MI jako „příklady informačních koncepcí“ (http://www.micr.cz/scripts/detail.php?id=3768).“

2. Provozní dokumentace

Jde sice o rozsáhlý „balík“ dokumentů ke každému informačnímu systému, ale dobrou zprávou pro OVS, který podle novely zákona celou provozní dokumentaci nyní vypracovává je to, že z provozní dokumentace se k atestaci předkládá pouze jedna její část, kterou je dokument „Bezpečnostní politika ISVS“, a to ještě navíc pouze v případě, kdy je podle dále uvedených ustanovení vyhlášky povinen ji vyhotovit. Jde o určení rozsahu provozní dokumentace předkládané při atestaci, který je specifikovaný v § 13 předmětné vyhlášky, a ten se dále odkazuje na §10 odst.2 písm. a) tamtéž, a který zní takto – cituji doslovně:
„Bezpečnostní dokumentaci ISVS tvoří
a) bezpečnostní politika informačního systému veřejné správy, a to vždy, pokud systém má vazby s informačním systémem veřejné správy jiného správce, nebo pokud orgán veřejné správy není provozovatelem tohoto systému“ – konec citace z vyhl.č.595/2006 Sb.

Bezpečnostní politika ISVS
je dokument, který obsahuje popis bezpečnostních opatření, která orgán veřejné správy uplatňuje při zajišťování bezpečnosti tohoto systému a která odpovídají požadavkům na bezpečnost stanoveným v informační koncepci,

  • protože bezpečnostní politika (dále jen BP) pravděpodobně bude pro každý informační systém v rámci ISVS daného správce (= orgánu veřejné správy) jiná, převládá t.č. u navrhovatele vyhlášky (MIČR) názor, že bude nutno vytvářet dokument BP ISVS pro každý informační systém zvlášť. Toto stanovisko je zdánlivě v rozporu s citací platné úpravy z výše uvedeném odstavci, a možná, že i tato skutečnost je důvodem proč MIČR v této době vypracovává návrh metodického pokynu pro atestaci dlouhodobého řízení ISVS. Každopádně, k atestaci se předkládá BP informačního systému veřejné správy a vypracování BP pro ostatní informační systémy je zákonnou povinností správce ISVS v rámci vytváření provozní dokumentace, ale mimo rámec procesu atestace dlouhodobého řízení ISVS. 

Atest dlouhodobého řízení ISVS vystavuje atestační středisko na dobu nejdéle 5 let.
Pokud OVS v informační koncepci stanoví, že je tato koncepce vydána na dobu kratší než 5 let, atestační středisko stanoví datum další zkoušky, v souladu s dobou, na kterou je informační koncepce vydána. 

Atestace referenčního rozhraní

 
Další úplně nové povinnosti OVS podle § 5 odst.2 písm. d) zákona jsou tyto:

  • zajistit, aby vazby jimi provozovaného informačního systému na informační systémy jiného provozovatele byly uskutečňovány prostřednictvím referenčního rozhraní (dále jen RR),
  • zajistit, aby vazby byly realizovány s využitím datových prvků vyhlášených ministerstvem a vedených v informačním systému o datových prvcích,
  • prokázat atestem způsobilost informačního systému k realizaci těchto vazeb. 

Příslušná ustanovení zákona jsou rozpracována do prováděcího předpisu, který zatím (6.3.2007) existuje pouze v podobě návrhu dokumentu „Vyhláška č. … / 2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní)“.

Povinnost atestace RR se vztahuje jenom na ty informační systémy, které jsou v roli „poskytovatele“ služby nebo informace.

Atestace je vázána na jeden, konkrétní ISVS, nasazený v daném prostředí.

Smyslem atestace je posouzení, zda je vazba realizovatelná podle stanovených pravidel, tj. podle technické dokumentace správce ISVS.

Pro zprůhlednění problematiky atestace referenčního rozhraní připravilo MIČR návrh dokumentu „Metodický pokyn k posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní“, ze kterého autor v dalším textu čerpá.

Dále se podívejme na požadavky atestačního střediska,a na ty povinnosti žadatele, jejichž splnění je potřebné pro zahájení a vlastní proces atestace.

Atestační středisko

  • bude při provádění atestace na žadateli (správce ISVS, který je poskytovatelem služby) vyžadovat připravenost v oblasti technických náležitostí uskutečňování vazeb, kterými rozumíme
  • zápis atestovaného ISVS do IS o ISVS,
  • při realizaci vazby použití datových prvků, které jsou vyhlášeny Ministerstvem informatiky v ISDP,
  • popis technických náležitostí vazby v technické dokumentaci služby; (povinnost zpracovat technickou dokumentaci má správce toho ISVS, který je poskytovatelem služby). 
    musí při posuzování způsobilosti k realizace vazeb vždy využívat údaje z IS o ISVS a ISDP, 
    v průběhu atestace ověřuje, zda je vazba ISVS v souladu s technickou dokumentací služby buď pro všechny postupy (kterými lze o službu požádat), které jsou v technické dokumentaci uvedeny, nebo pro jejich část (ta se určí podle konkrétních podmínek např.: množství vazeb, ekonomičnost atestace, duplikace postupů, apod., pak lze přezkoušení řešit výběrem vhodného „reprezentativního vzorku“), 
    posuzuje soulad odpovědí ISVS na žádost o službu/informaci s dokumentací služby, i v případě, že odpovědí bude chybové hlášení, 
    posuzuje soulad realizace vazby s dokumentací služby (tj. zda je daná služby poskytována tak, jak je v dokumentaci popsána), 
    posuzuje způsob zajištění bezpečnosti služby a jeho soulad s bezpečnostní politikou služby, soulad rozsahu přístupových oprávnění uživatele, který k těmto službám přistupuje s bezpečnostní politikou služby, 
    ověření souladu vazby s technickou dokumentací může probíhat buď v produkčním prostředí nebo v testovacím, ale za předpokladu, že OVS potvrdí, že testovací prostředí je totožné (s výjimkou dat) s produkčním,
  • nepřezkušuje oblast funkčních náležitostí uskutečňování vazeb, která je zákonem a prováděcím předpisem specifikována, ale leží mimo rámec povinností atestačního střediska v procesu atestace RR,
  • v případě úspěšné zkoušky vydává atest na dobu nejvýše 5 let,
  • může na základě žádosti držitele atestu před uplynutím platnosti atestu prodloužit jeho platnost o 2 roky a to i opakovaně. Při prodlužování platnosti atestu postupuje žadateli i ATS obdobně jako při provádění atestací.

Orgán veřejné správy,
který je správcem ISVS realizujícího vazby (v roli „poskytovatele“ služby), vytváří technickou dokumentaci s následující strukturou:

popis funkčnosti služby, kde je uvedena specifikace technických náležitostí realizace vazby informačních systémů,

dokumentace služby, která se skládá z

  • popisu technických náležitostí poskytování služeb informačního systému veřejné správy,
  • popisu postupu, kterým lze požádat o službu nebo informaci; jde o procesní schéma, jak se má žádající subjekt připojit ke službě; zde mohou být uvedeny i organizační a technické náležitosti, které je třeba provést před prvním připojením ke službě,
  • popisu odpovědí (včetně chybových hlášení) ISVS na žádost o službu/informaci – musí být popsána přesná reakce ISVS na položené dotazy a chybová hlášení na nestandardní nebo špatně položené dotazy,
  • podrobné charakteristiky vazby pro případ, že došlo v předchozích bodech k nejasnostem.

bezpečnostní politika služby, zde je popsán

  • způsob zajištění bezpečnosti poskytované služby/informace, kde je uveden popis, jak je zajištěna bezpečnost služby na straně poskytovatel služby, např. zajištění integrity předávaných informací, firewall apod.,
  • způsob zajištění bezpečnosti vazeb, kde je uveden popis, jak je zajištěna bezpečnost komunikace, včetně bezpečnostních opatření, která musí být uplatněna na straně příjemce služby; např. šifrovaná komunikace, použitá metoda autentizace, způsob identifikace apod.,
  • rozsah přístupových oprávnění a omezení pro jednotlivé oprávněné uživatele, kde je uvedeno vymezení všech oprávnění pro dané skupiny uživatelů nebo uživatele( např. detaily přístupového oprávnění a omezení přístupu a manipulace vzhledem k zabezpečovaným datovým objektům).

Použité zdroje informací

V úvodu jsem deklaroval úmysl přispět článkem i ke zlepšení orientace ve zdrojích důležitých informací pro oblast ISVS. Dále tedy uvádím slíbený přehled zdrojů ze kterých čerpal také pro tento článek.

[1] Zákon č.365/2006 Sb. o informačních systémech veřejné správy, ve znění pozdějších předpisů ( ve znění platném od 1.1.2007).
Dostupný na: www.micr.cz/files/389/Zak365-2000_ISVS_UZ081-2006.pdf

[2] Vyhláška č. 469/2006 Sb., o informačním systému o datových prvcích.
Dostupná na: www.micr.cz/files/3689/Vyhlaska469-ISDP-Sbirka.pdf

[3] Vyhláška č. 528/2006 Sb., o informačním systému o informačních systémech veřejné správy.
Dostupná na: www.micr.cz/files/3690/Vyhlaska528-IS_o_ISVS-Sbirka.pdf

[4] Vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS.
Dostupná na: http://www.micr.cz/files/3691/Vyhlaska529-DR_ISVS-Sbirka.pdf

[5] Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobém řízení ISVS.
Dostupná na: www.micr.cz/files/3692/Vyhlaska530-PostupyAS-Sbirka.pdf

[6] Návrh vyhlášky o referenčním rozhraní.
Dostupný na: www.micr.cz/files/3693/38-07_Vyhl__ka-RR_Sb_rka.pdf

[7] Návrh vyhlášky postupech atestačních středisek při posuzování způsobilosti ISVS k realizaci vazeb prostřednictvím RR.
Dostupný na: www.micr.cz/files/3695/38-07_Vyhl__ka-atest_Sb_rka.pdf

[8] Metodický pokyn Ministerstva informatiky k posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím referenčního rozhraní ( Návrh).

[9] Vzorové informační koncepce.
Dostupné na: Ministerstvo informatiky ČR: Příklady informačních koncepcí

Přehled zákonem stanovených termínů

Na úplný konec článku zařazuji tabulku s přehledem těch termínů, které pro oblast přípravy a vlastní atestace ISVS ukládá orgánům veřejné správy novela zákona

Termín

Akce

Povinný

Pozn.

do 1.1.2009

Povinnost zpracovat informační koncepci a provozní dokumentaci ISVS

OVS

Příprava na atestaci dlouhodobého řízení ISVS

po 1.1.2009

Povinnost atestace způsobilosti ISVS k realizaci vazeb prostřednictvím RR

OVS

Atestace RR

do 1.1.2010

Povinnost atestace dlouhodobého řízení ISVS

OVS

Atestace dlouhodobého řízení ISVS

k 1.1.2007

Zrušení platnost standardů ISVS

OVS

Atestace od 1.1.2007 probíhají podle novely zákona

 

Odpovědět na příspěvek

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


3 − = nula

top