Co máme dělat, pokud chceme atestovat?

Trápíte se také tím, co musí úřad udělat, aby zajistil potřebnou dokumentaci dle vyhlášky 529/2006, kdo kterou dokumentaci schvaluje a co se nakonec atestuje?

Co si mají úřady připravit za podklady, aby bylo možno vypracovat vše potřebné předepsané legislativou a završit úspěšnou atestací.

Definice některých základních pojmů /dle zákona č. 365/2000 Sb., o ISVS, § 2/

Správce ISVS je subjekt, který podle zákona určuje účel a prostředky zpracování informací a za informační systém odpovídá. Jsou to ministerstva, jiné správní úřady a územní samosprávné celky (správci jsou orgány veřejné správy - OVS). Správci ISVS jsou ministerstva, jiné správní úřady a územní samosprávné celky (souhrnně „orgány veřejné správy“). Územní samosprávný celek je obec (město), kraj.

Provozovatel ISVS je subjekt, který provádí alespoň některé informační činnosti související s informačním systémem. Provozováním ISVS může správce pověřit jiné subjekty, pokud to jiný zákon nevylučuje.

Sdílení dat je umožnění přístupu (tj.poskytování příslušné služby) k daným datům prostřednictvím referenčního rozhraní více subjektům současně.

Vazba mezi ISVS je vzájemné nebo jednostranné poskytování služeb a informací, například sdílení dat.

Služba je činnost informačního systému uspokojující dané požadavky oprávněného subjektu spojená s funkcí informačního systému.

Referenční rozhraní (RR) resp. referenční, sdílené a bezpečné rozhraní ISVS je souhrn právních, technických, organizačních a jiných opatření vytvářejících jednotné integrační prostředí ISVS, které poskytuje kvalitní soustavu společných služeb, včetně služeb výměny oprávněně vyžadovaných informací mezi jednotlivými informačními systémy orgánů veřejné správy a dalšími subjekty, a to i se systémy mimo Českou republiku.

Příprava na atestaci

Novelou zákona č. 365/2000 Sb. o ISVS bylo zavedeno tzv. dlouhodobé řízení ISVS. Nová platná legislativa přenáší odpovědnost za splnění všech náležitostí dlouhodobého řízení ISVS, včetně atestací, na OVS.

OVS, tj. správce ISVS, je vždy povinen vytvářet a vydávat informační koncepci IK a provozní dokumentaci PD k ISVS, bez ohledu na to, zda se na něj nebo na část dokumentů vztahuje či nevztahuje povinnost atestace.

Dále je OVS povinen uplatňovat IK a PD v praxi, kontrolovat a vyhodnocovat jejich dodržování.

Musí udržovat IK a PD v aktuální podobě pomocí doplňků (příloh) či vydáním aktualizované verze.

Jak informační koncepce, tak část provozní dokumentace (a to bezpečnostní politika ISVS) podléhají povinné atestaci.

Povinnost zajistit atestaci dlouhodobého řízení ISVS se nevztahuje na obce, které vykonávají přenesenou působnost pouze v základním rozsahu (tzv. obce I. typu). Přesto i tyto obce jsou, jako správci ISVS, povinné vytvářet a kontrolovat IK a PD.

Co si musí OVS připravit za podklady a údaje pro tvorbu IK?

Vycházíme z vyhlášky 529/2006 Sb. o dlouhodobém řízení informačních systémů veřejné správy.

OVS musí uvést charakteristiku každého ISVS, jehož je správcem. Stručnou charakteristiku jeho současného stavu (k čemu slouží, jaké má uživatele /interní i externí/, zda poskytuje služby pro jiné ISVS, kdo jej vytvořil a na základě jakého právního předpisu ho OVS měl povinnost vytvořit nebo pořídit /jako správce/ a kdo provozovat) a předpokládané změny v tomto systému (jsou-li známy).

OVS charakterizuje jednotlivé ISVS každý ISVS zvlášť, nebo dva a více ISVS charakterizuje jako subsystémy jednoho ISVS.

Přípravu podkladů je možno podpořit poskytnutím šablony od firmy zajišťující vypracování a kompletaci předepsané dokumentace pro dlouhodobé řízení ISVS, tedy IK a PD.

Je nutné popsat záměry (jsou-li takové) na pořízení nebo vytvoření nových ISVS – opět možná šablona.

Uvést dlouhodobé cíle v oblasti řízení kvality ISVS, požadavky na kvalitu a plán řízení kvality:

• cíle jsou zajištění: kvality dat – kvality technických a programových prostředků - kvality služeb poskytovaných prostřednictvím ISVS,
• stanovení požadavků na kvalitu a 
• plán řízení kvality, který obsahuje popis činností, které OVS vykonává pro dosažení stanovených požadavků na kvalitu ISVS, včetně časového harmonogramu jejich plnění.

Nejlépe lze doporučit návodnou šablonu pro přípravu podkladů.

Uvést dlouhodobé cíle v oblasti řízení bezpečnosti ISVS, požadavky na bezpečnost a plán řízení bezpečnosti: 

• cíle jsou: bezpečnost dat - bezpečnost technických a programových prostředků - bezpečnost služeb poskytovaných prostřednictvím ISVS,
• stanovení požadavků na bezpečnost ISVS a
• plán řízení bezpečnosti, který obsahuje popis činností, které OVS vykonává pro dosažení stanovených požadavků na bezpečnost ISVS, včetně časového harmonogramu jejich plnění.

Doporučení: Použít šablonu, plus nachystat si veškerou existující stávající bezpečnostní dokumentaci IS jako podklad.

Sepsat soubor základních pravidel (zásad) pro správu ISVS, a to včetně postupů, které vedou k jejich naplňování. OVS zde definuje obecné zásady - požadavky na správu jednotlivých ISVS patří do provozní dokumentace. OVS stanoví zásady pro správu ISVS vždy pro oblasti:

• pořizování a vytváření ISVS - definování potřeby ISVS, finanční náročnosti, analýzu výchozího stavu, stanovení cílového stavu, kvalitativních požadavků a požadavků na zajištění bezpečnosti, analýzu důsledků
  • o pořizování ISVS od dodavatele – OVS do podkladů uvede zda plánuje pořizování ISVS, zda má vytvořené zásady pořizování ISVS od dodavatele: použijí se, upraví se, nejsou-li vytvoří se s pomocí šablony. Jde o požadavky na dokumentaci, požadavky na oprávnění nezbytná pro provádění údržby a změn v ISVS, požadavky na projektové řízení u dodavatele, požadavky na testování ISVS a akceptaci dodávky před jejím převzetím od dodavatele. Součástí mohou být též pravidla a povinnosti při zadávání veřejných zakázek a zakázek malého rozsahu na ISVS.
  • o vytváření ISVS prostřednictvím svých zaměstnanců - OVS uvede zda plánuje vytváření ISVS, pokud ano, zda má zásady: použijí se, upraví se, vytvoří se. 
• provozování ISVS, a to včetně jejich změn a rozvoje. - OVS vždy uvede zásady a postupy pro: 
  • zajištění provozu a údržby ISVS, a to včetně vytváření a údržby provozní dokumentace a vyhodnocování jejího dodržování,
  • o řízení změn v ISVS,
  • o řízené ukončení činnosti ISVS.

OVS uvede

• způsob financování záměrů na pořízení nebo vytvoření nových ISVS,
• způsob financování naplnění dlouhodobých cílů v oblasti řízení kvality ISVS a v oblasti řízení bezpečnosti ISVS,
• způsob financování správy ISVS podle souboru základních pravidel (zásad) pro správu ISVS a postupů, které vedou k jejich naplňování,
• postupy při vyhodnocování dodržování IK podle §7 a při provádění jejích změn podle §6 vyhlášky 529/2006 Sb.,
• funkční zařazení zaměstnance nebo určení jiné fyzické osoby nebo název organizačního útvaru, který řídí provádění činností vedoucích k dosažení cílů, naplňování zásad a uplatňování postupů, které jsou v informační koncepci uvedeny, a ke splnění povinností, které orgánu veřejné správy stanoví zákon,
• dobu platnosti informační koncepce.

Co si musí OVS připravit za podklady a údaje pro tvorbu PD?

Provozní dokumentaci PD ISVS tvoří tyto dokumenty:

a) bezpečnostní dokumentace ISVS,

• bezpečnostní politika ISVS, a to vždy pokud systém má vazby s ISVS jiného správce nebo pokud OVS není provozovatelem tohoto systému,
• bezpečnostní směrnice pro činnost bezpečnostního správce systému,

b) systémová příručka,

c) uživatelská příručka.

Podle potřeb, a s ohledem na počet uživatelů, lze sloučit výše vyjmenované dokumenty PD do jednoho dokumentu. Nebo naopak použít odkazy na již existující dokumentace.

Mezi podklady zde patří příručky uživatelské, administrátorské – OVS je již vesměs mají, byly standardní součástí dodávky SW.

Je žádoucí si nachystat maximum již existujících dokumentů OVS, použitelných podkladů pro zpracování IK a PD.

Mnohá výše vyjmenovaná témata jsou již na OVS (úřadu) v nějaké podobě zpracována. Lze je využít, buď formou odkazu na existující text v dokumentu nebo se text aktualizuje a upraví. Škoda dělat znovu co již existuje.

Jedná se zejména o tyto pracovní podklady:

• strategické materiály OVS (úřadu): globální strategie, programové prohlášení rady, informační strategie, bezpečnostní politika, koncepce související s rozvojem IS, ...,
• směrnice a pokyny tajemníka/ředitele úřadu týkající se bezpečnosti, provozní řád IS, pravidla pro uživatele,
• směrnice, pokyny, řád, pravidla, jak se monitorují a aktualizují požadavky uživatelů IS a evidují poruchy IS,
• popis stávajícího IS (technická architektura - popis HW, síť, SW; seznam veškerého SW, popis SW aplikací, popis komunikace mezi subsystémy), nejlépe vyplněním dodané šablony,
• strategické materiály vyšších OVS (u obcí informační strategie kraje, apod.)

Pokud vhodné texty na OSV zatím chybí, lze je dodavatelsky vytvořit, zpracovat z dodaných podkladů (OVS připraví podklady s pomocí dodaných šablon), z konzultací zpracovatele se zástupci OSV. Významným pilířem tvorby všech dokumentů je znalost problematiky (know how) na straně zpracovatele.

Kdo dokumentaci pro dlouhodobé řízení ISVS schvaluje?

Je-li OVS povinen vytvářet a vydávat IK a PD k ISVS, kdo je jeho jménem schvaluje?

Zákon 365/2000 Sb. o informačních systémech veřejné správy pouze obecně praví: orgány veřejné správy "vytvářejí" a "vydávají", "zajistí" apod.

Prováděcí právní předpis, tedy vyhláška 529/2006 Sb. o dlouhodobém řízení informačních systémů veřejné správy, v § 6 "Schvalování informační koncepce a provádění změn v informační koncepci", v odst. (1) "Údaje o schválení informační koncepce nebo jejích jednotlivých verzí se v tomto dokumentu zaznamenávají ve struktuře", uvádí pod písm. c) "jméno, popřípadě jména a příjmení zaměstnance, jiné fyzické osoby nebo orgánu, který informační koncepci nebo její verzi schválil". Více neupřesňuje.

Jinak dle vyhlášky 529/2006 Sb. /stejně jako v zákoně 365/2000 Sb./ vše "vykonává" OVS, bez bližší specifikace. Pomohou nám zákony "o obcích", "o krajích", "o hlavním městě Praze"?

Každý OVS typu územní samosprávné celky, tj. obec nebo kraj, mají své „vnitřní“ orgány stanovené zákony č.128/2000 Sb. o obcích (obecní zřízení), č.129/2000 Sb. o krajích (krajské zřízení), č.131/2000 Sb. o hlavním městě Praze.

Z výše uvedeného lze vyčíst, že u OVS typu územní samosprávný celek (obec, kraj) je představitelem OVS příslušné zastupitelstvo (obce, kraje). Lze tudíž dovozovat, že pravým orgánem pro schválení IK a PD je zastupitelstvo resp. jím pověřená rada.

Nejlépe dvou fázově: Před atestací bere zastupitelstvo (rada) vypracovanou IK i PD na vědomí a dává souhlas k předložením IK i PD k atestaci. Po atestaci zastupitelstvo (rada) schvaluje IK i PD a zároveň bere na vědomí, že byly úspěšně atestovány.

U krajů podle zákona č. 129/2000 Sb. o krajích, § 67, odst. (1), písm. d) "Krajský úřad vykonává přenesenou působnost … Krajský úřad … zabezpečuje koordinaci výstavby a provozu informačního systému kompatibilního s informačními systémy veřejné správy".
Ředitel krajského úřadu zajišťuje úkoly v přenesené působnosti kraje vyplývající ze zvláštních zákonů. Lze doporučit, aby ředitel krajského úřadu byl mezi osobami schvalujícími IK a PD.

Aby věc bylo komplikovanější, v § 93 zákona o krajích /písm. e)/ se uvádí: "Ministerstvo /vnitra/ ve vztahu ke krajům na úseku přenesené působnosti … řídí a ve spolupráci s příslušnými ministerstvy koordinuje výstavbu a realizaci informačních systémů krajů a zabezpečuje řešení a realizaci projektů".

A co referenční rozhraní ISVS (RR)? Kde je IS v roli poskytovatele služby nebo informace pro jiné IS.

Ministerstvo informatiky ve spolupráci s OVS stanoví a spravuje referenční rozhraní a stanoví prováděcím právním předpisem technické a funkční náležitosti uskutečňování vazeb mezi informačními systémy prostřednictvím referenčního rozhraní (Vyhláška 53/2007 o referenčním rozhraní a Vyhláška 52/2007 o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb ISVS prostřednictvím RR).

OVS jsou v rámci ISVS povinny zajistit, aby vazby jimi provozovaného informačního systému na informační systémy jiného provozovatele byly uskutečňovány prostřednictvím referenčního rozhraní s využitím datových prvků vyhlášených ministerstvem a vedených v informačním systému o datových prvcích.

Způsobilost informačního systému k realizaci těchto vazeb jsou povinny prokázat atestem.

Pokud je OVS správcem takového IS, měl by si měl nachystat jako podklad technickou dokumentaci, která popisuje vazby a služby mezi informačními systémy. Tuto technickou dokumentaci (popisující rozhraní na straně OVS) by měl připravit a dodat tvůrce ISVS.

U RR je přípustné a doporučitelné schéma postupu: komerční subjekt, který dodává konkrétní ISVS pro konkrétní OVS, žádá o atestaci RR tohoto ISVS instalovaného u příslušného OVS.
Vazba ISVS musí být přes RR realizované s využitím datových prvků vyhlášených a vedených v IS o datových prvcích.

Jako podmínky nutné bude atestační středisko požadovat: zápis ISVS do IS o ISVS, v RR použití datových prvků z IS o datových prvcích a technické náležitosti vazby popsané v technické dokumentaci služby.

Atestační středisko posuzuje soulad „odpovědí“ ISVS na žádost o službu (resp. poskytnutí informace) s dokumentací služby. Test se provádí na produktivním či testovacím prostředí (instalaci). Testuje a porovnává přístupová práva s bezpečnostní politikou služby provozované přes RR.

Co se nakonec atestuje?

V rámci dlouhodobého řízení informačních systémů se bude „pouze“ atestovat:

1) informační koncepce (IK)

2) Provozní dokumentace (PD) z ní je povinnost atestovat pouze jedna část a to Bezpečnostní politika ISVS a to ještě jen za podmínky, že informační systém má vazby s ISVS jiného správce nebo správce informačního systému (tj. OVS) není provozovatelem tohoto IS, čili většina měst a obcí nyní nemá povinnost atestovat žádnou část provozní dokumentace.

Povinnost zajistit atestaci dlouhodobého řízení ISVS se nevztahuje na obce, které vykonávají státní správu v přenesené působnosti pouze v základním rozsahu (tzv. obce I. typu).

Obce s pověřeným obecním úřadem (obce II. typu) a obce s rozšířenou působností (obce III. typu) se atestaci dlouhodobého řízení ISVS v příslušném rozsahu nevyhnou.

3) Referenční rozhraní ISVS (RR) vztahuje se na IS v roli poskytovatele služby nebo informace pro jiné IS. Většiny měst a obcí se nyní atestace RR netýká. Potřeba realizovat vazby na jiné ISVS, vytvářet příslušnou dokumentaci a následně atestovat RR s časem a rozvojem e-governmentu poroste.

 Např. bude-li povoleno a realizováno dlouho slibované propojení IS Matrik na příslušných úřadech (které matriky vedou) s centrálním registrem evidence obyvatel (pod správou MV ČR).

Atestace RR je stanovení shody způsobilosti k realizaci vazeb ISVS s jinými informačními systémy prostřednictvím referenčního rozhraní ( dále také atestace RR).

Optimistická poznámka na závěr

Při práci na IK a PD bychom měli mít na mysli, že námaha vynaložená na jejich vypracování by neměla být „samoúčelná“ s cílem „jen“ učinit za dost platné legislativě.

Měli bychom přijmout myšlenku, že smyslem je - mimo jiné - utřídit, aktualizovat či modernizovat, rekapitulovat a dotvořit dokumenty k IS.

A konečným cílem je zlepšit fungování ISVS a poskytované služby ISVS, obecně, ve všech oblastech.