Optimalizace atestace 1 Atestace ISVS optimálně Hradec Králové 24. - 25. března 2003 Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a.s.

Slides:



Advertisements
Podobné prezentace
Pojmy Dlouhodobé řízení ISVS (tj. souhrnně všech, u kterých OVS vykonává funkci správce) OVS zpracovává IK a PD, předmětem posuzování AS je IK, PD za určitých.
Advertisements

Informační systém krizového řízení kraje
Obce sobě Podpora meziobecní spolupráce Projekt Svazu měst a obcí ČR.
Czech POINT Pohodlná komunikace.
Facility management ČSN EN
Definování prostředí pro provozování aplikace dosud jsme řešili projekt v obecné rovině aplikace bude ovšem provozována v konkrétním technickém a programovém.
Základní otázky rozvoje informatizace Ing. Dana Bérová náměstkyně ministra – ředitelka sekce Jihlava,
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Základní registry veřejné správy
Informační systém základních registrů. Obsah Úvod Komunikace se základními registry Autentizace a autorizace Práce s údaji Funkcionalita v rámci Portálu.
Informační technologie pro IZS a krizové řízení
3. Životní cyklus a procesy projektu
SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.
Řízení a kontrola hospodaření v ekonomických agendách
Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů Zveřejněno ve Sbírce zákonů ČR, částka 99/2000.
3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Plzeňského a Karlovarského kraje
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Sítě 2000 Okresní úřad Hodonín geografický informační systém.
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Atestace Fáres Shima ředitel odboru atestací Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové.
Registry veřejné správy Koncepce a legislativní zabezpečení Konference ISSS března 2001 Hradec Králové Ing. Ebbo Petrikovits Úřad pro veřejné.
Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Finanční kontroly ve veřejné správě IT podpora kontrolovaných procesů při správě prostředků SR a EU Konference ISSS Hradec Králové, březen 2004 RNDr. Zdeněk.
 P1 - Strategické plánování  P2 - Systém managementu jakosti a legislativy  P3 - Řízení informací  P4 – Audity.
Vydávání výstupů z informačních systémů veřejné správy
„Elektronické“ Veřejné zakázky Vladimír Šiška náměstek ministra ředitel sekce ISVS.
Vladimír Šiška Náměstek ministra – ředitel sekce
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Propojení zákona o integrované prevenci a zákona o hospodaření energií Ing. František Plecháč Státní energetická inspekce.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Zjednodušení orientace na portálech veřejné správy Jaroslav Svoboda - Ministerstvo vnitra ČR Iva Zelenková - Ministerstvo informatiky ČR Konference ISSS,
Novelizace zákona č. 365/2000 Sb., o ISVS Hradec
Vratislav Paulík ředitel projektů
Zjednodušení administrativních postupů – výpisy z Evidence rejstříku trestů Mgr. Marek Souček Konference ISSS 2006 Hradec Králové, 3. – 4. dubna 2006.
2. Životní cyklus a procesy projektu
Hospodářský registr Ing. Jiří Pavlíček Konference ISSS 2006 Hradec Králové, 4. dubna 2006.
Vysoká škola technická a ekonomická v Českých Budějovicích
Interaktivní personální portál
RNDr. Ivana Havlíková Ing. Jiří Štochel. STAVEBNÍ ZÁKON - STARÝ.
Kanalizace – kdy bude??? Povolovací, přípravný a realizační proces kanalizace Martin Exner, starosta obce Nová Ves Nová Ves
REGISTRY VEŘEJNÉ SPRÁVY Obecné principy schváleného věcného záměru zákona o registrech veřejné správy Seminář sdružení Nemoforum Prostorová identifikace.
Projektování elektrických zařízení Fakulta elektrotechniky a informatiky VŠB – TUO Katedra elektrotechniky.
INFORMAČNÍ SYSTÉMY PRO KRIZOVÉ ŘÍZENÍ POUŽITÍ INFORMAČNÍCH SYSTÉMŮ PRO MODELOVÁNÍ A SIMULACE KRIZOVÝCH SITUACÍ - T3 ING. JIŘÍ BARTA Operační program Vzdělávání.
Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Projekt je.
PROCESNÍ MODELOVÁNÍ AGEND VEŘEJNÉ SPRÁVY Rámcový návrh projektu.
Sekce fondů Evropské unie (Sekce 8) Hlavní náplň Zajištění činností Řídicího orgánu operačních programů spolufinancovaných z ESF (OP LZZ a OPZ), Zprostředkujících.
Přednáška Akce: Přednášející: Ing. Zdeněk Čežík | Konzultant managementu a podnikových procesů | TFM Výzvy Facility managera.
Krajský úřad Jihomoravsk ého kraj e odbor územního plánování a stavebního řádu 20. března 2012 Výzva č. 08 k předkládání žádosti o finanční podporu v rámci.
Analýza možností využití institutu centrálního zadavatele v rámci jednotlivých resortů Přednášející: Ing. Pavel Brož.
Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Zákon 179/2010 Sb., kterým se mění zákon č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů, a některé další zákony Změny v oblasti uveřejňování.
Podpora kvality ve výzvách Analýza výsledků proběhlých výzev
Informačních systémů veřejné správy
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Přednáška č. 10 Hodnocení veřejných zakázek - druhá část
Nový přístup ŘSD ČR k činnostem pro zajištění údržby
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Obrana státu Zajišťování obrany České republiky (část 1)
Obecné nařízení o ochraně osobních údajů
Ing. Jaroslav Kokeš Oddělení standardů
Ing. Martin DVOŘÁK,Ph.D Praha
Transkript prezentace:

Optimalizace atestace 1 Atestace ISVS optimálně Hradec Králové března 2003 Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a.s.

Optimalizace atestace 2 Program 1.Atestační povinnost 2.Reálná atestace IS orgánů veřejné moci (OVM) i.Rozsah IS ii.Optimalizace postupu iii.Výběr asistenční firmy 3.Shrnutí místo závěru

Optimalizace atestace 3 Atestační povinnost (1) Atestační povinnost 1 1

Optimalizace atestace 4 Zákonné a podzákonné normy (1) §§§ Zákon č. 365/2000 Sb. o ISVS  podmínky existence a provozu ISVS,  které IS jsou zákonem dotčeny,  povinnost „dodržovat závazná ustanovení standardů, zajišťovat ochranu a bezpečnost informací v rámci provozovaného IS“.

Optimalizace atestace 5 Standard ISVS 005/02.01 pro náležitosti životního cyklu IS, Standard ISVS 017/01.01 stanovující povinné požadavky na metodiku atestace shody IS se standardem ISVS pro náležitosti životního cyklu IS (1) Standardy ÚVIS Standardizační činnost ÚVIS - MI

Optimalizace atestace 6 Fáze životního cyklu (std. 5/2002) (1) Atestační povinnost Projekt akvizice Projekt základního nebo redukovaného postupu vývoje Projekt provozu a údržby Kombinované projekty Fáze životního cyklu ISVS Příprava ISUkončení IS Strateg. procesy ISRealizační proj. ISStrateg procesy. IS Realizační proj. IS Strateg. procesy ISRealizační proj. IS Definice potřeby IS Příprava na zprac. nebo aktualizaci informační strategie IS Příprava nebo aktualizace nástrojů strategického řízení IS Tvorba a údržba informační strategie Řízení bezpečnosti Plánování a koordinace projektů Plánování a řízení jakosti Řízení požadavků a jejich monitorování Vyřazení IS n/a Vývoj, provoz, údržba

Optimalizace atestace 7 Povinnost váže ISVS, které: přímo komunikují, nebo se tato komunikace předpokládá, s jinými ISVS, jsou nebo byly dodány OVM na zakázku za cenu vyšší než Kč, finanční prostředky na vývoj a provoz jsou čerpány ze státního rozpočtu. Kap. 9 odst. 1 std. 5/2002 uvádí tyto i další podmínky (1) Kdo musí Povinnost atestace shody s 5/2002

Optimalizace atestace 8 Různý obsah atestace:  ISVS, jejich vývoj skončil před (A)  nakoupený sw – akvizice (B1),  vytvořené nebo rozšířené s použitím základního postupu vývoje (B2),  vytvořené nebo rozšířené s použitím redukovaného postupu vývoje (B3). Pro atestaci podle tohoto postupu jen (A) (1) Co musí Předmět atestace

Optimalizace atestace 9 splňuje : dokumentace obsahuje všechny dokumenty v požadované struktuře a jakosti splňuje s výhradami : obsahuje všechny dokumenty, nesplňuje nepodstatné náležitosti ve struktuře a jakosti nesplňuje : dokumentace není úplná a závady se nepodaří odstranit ani ve spolupráci s atestačním střediskem (1) Atestace (A) Výrok o atestu - ISVS před

Optimalizace atestace 10 Musí být zpracována dokumentace v požadované struktuře a jakosti Pro (A) je to 9 dokumentů /pro (B) asi 20 dok./  strategie a plnění evidenčně-oznamovací povinnosti (evidenční list, informační strategie, systémové požadavky),  bezpečnostní dokumentace (BPOL, projektová a provozní bezpečnostní dokumentace),  dokumenty nutné pro provozování systému (změnové řízení, evidence poruch a mimořádných události, systémová a uživatelská příručka). (1) Co tedy musí být Podstata atestu

Optimalizace atestace 11 Reálná atestace IS v OVM (2) Reálná atestace 2 2

Optimalizace atestace 12 (2) Reálná atestace IS jako celek – jednotlivé agendové subsystémy Příklad: obce s rozšířenou působností Rozsah IS soubor provozní dokumentace jednotlivých agend jednotlivé agendové subsystémy ISS 1 ISS 2 ISS n stávající ISVS....

Optimalizace atestace 13 (2) Reálná atestace IS jako celek, jednotlivé ISS atest mají nebo jsou schopny ho získat do okamžiku podání žádosti o atestaci systému jako celku. Pak je pro (A) nutnou a postačující podmínkou získání atestu úplná a správná dokumentace. Optimalizace postupu

Optimalizace atestace 14 bezpečn. dokument. pokryto atestací produktu (ISS) u výrobce (dodavatele) ISS 1 ISS 2 ISSn hranice atestovaného ISVS asistence při atestaci příprava na atestaci strategie (2) Reálná atestace Situace při optimalizovaném postupu provozní dokument.....

Optimalizace atestace 15 (2) Reálná atestace 1.Výběr asistenční firmy (AF) s ohledem na vazby na atestační středisko – smlouva 2.AF seznámí OVM s detailním plánem, korigují a zpřesňují se vzájemné požadavky – zodpovědnost správce zůstává nedotčena 3.AF provede AR a zpracuje bezpečnostní dokumentaci (návrh) 4.Správce kompletuje strategickou a evidenční dokumentaci Postup (zjednodušeně 1/2)

Optimalizace atestace 16 (2) Reálná atestace 5.Správce zpracuje (aktualizuje) provozní dokumentaci systému jako celku 6.AF připraví smluvní podmínky OVM – asistenční středisko 7.Další práce budou probíhat podle standardu 017/01.01 a podle smlouvy Pravomoc a zodpovědnost zůstává na správci Dokumentace se všeobecnou závazností musí OVM vydat podle lokálních předpisů (AF – návrh) Postup (zjednodušeně 2/2)

Optimalizace atestace 17 (2) Reálná atestace 1.Postup je zjednodušen na potřebné minimum podle std. 17/2002 5/2002 drobné inkonzistence -> změny 2.Některé ISS nepůjde nahradit, ani se nepodaří získat jejich atestaci (sw třetích stran ze státní správy) 3.ISVS jako celek je „živý systém“ a vykazuje systematickou snahu o rozšiřování (změny) 4.Přírůstková atestace jde k tíži OVM Úskalí

Optimalizace atestace 18 (2) Výběr asistenta Není třeba vypisovat výb. řízení podle 199/1994 Vnitřní výběrové řízení se doporučuje Odborně na výši se znalostí:  prostředí státní správy,  legislativy,  standardizačního a atestačního procesu,  ICT,  bezpečnosti informací a informačních systémů. Důvěryhodná:  informace pod ochranou zákonů,  informace neveřejné povahy důležité pro plnění funkce OVM Výběr asistenční firmy

Optimalizace atestace 19 (2) Výběr asistenta Vymezit hranice ISVS jako celku Z čeho se ISVS jako celek skládá Jaký je stav dílčích atestací v okamžiku zahájení (podle jakého std. jsou dílčí systémy atestovány) Podle jakého std. se požaduje atestace systému jako celku Pravomoci a zodpovědnosti smluvních stran Vymezení oblastí, v nichž budou prováděny aktivity OVM a které jsou tudíž vyjmuty z termínů plnění Smluvní zajištění

Optimalizace atestace 20 Shrnutí místo závěru (3) Závěr 3 3

Optimalizace atestace 21 (3) Shrnutí místo závěru Atestace jsou reálnou povinností Atestace jsou reálnou hrozbou Atestace stojí peníze a čas Atestace nezbaví správce zodpovědnosti za dokumentaci dílčích systémů (i když je nebude ověřovat) Atestace není jedinou povinností, jak jsou std. vymáhány Asistence nezbaví OVM zodpovědnosti za to mít ISVS atestován Atestace ani asistence neomezují povinnosti správce Smluvní zajištění

Optimalizace atestace 22 Informace vždy, ale jen pro oprávněné Komplexní zajištění bezpečnosti