| RK-03-2016-35.doc RK-03-2016-35pr01 (1).txt RK-03-2016-35pr01.doc RK-03-2016-35pr02 (1).txt RK-03-2016-35pr02.doc RK-03-2016-35pr03 (1).txt RK-03-2016-35pr03.doc | |
| Číslo materiálu | 35 |
| Číslo jednací | RK-03-2016-35 |
| Název | Určení Významných informačních systémů dle zákona č. 181/2014 Sb. o kybernetické bezpečnosti |
| Zpracoval | D. Marek, M. Chlup, D. Buřičová |
| Předkládá | D. Buřičová |
| Počet příloh | |
| Popis problému | Ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti, Kraji Vysočina vyplývá povinnost nahlásit na Národní bezpečnostní úřad, který je gestorem problematiky kybernetické bezpečnosti a národní autoritou v této oblasti, významné informační systémy (dále jen VIS ). Jedná se o informační systémy spravované orgánem veřejné moci, u kterých narušení informační bezpečnosti může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Pokud informační systém naplňuje určující kritéria, která stanovuje vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích (dále jen vyhláška ), musí být tento systém označen jako významný a podléhá ohlašovací povinnosti NBÚ. Proces posuzování/určování VIS se řídí podle vyhlášky. Orgánům veřejné moci (dále jen OVM ) je doporučeno posoudit naplnění kritérií pro VIS u jednotlivých informačních systémů interním aktem řízení - posloupností níže uvedených činností: 1. Vytvořit seznam jednotlivých informačních systémů 2. Statutární orgán OVM stanoví kompetence za posouzení naplnění kritérií pro VIS ze seznamu. 3. U jednotlivých systémů, které naplňují kritéria pro VIS, vydefinovat, o která kritéria se jedná. 4. Vytvořit závěrečné zprávy o posouzení naplnění kritérií u jednotlivých systémů. 5. Schválit závěrečné zprávy statutárním orgánem. 6. Nahlásit kontaktní údaje na NBÚ. Posouzením informačních systémů a jejich označením za VIS počínají běžet lhůty pro plnění povinností dle zákona o kybernetické bezpečnosti (dále jen ZKB ). Správci VIS mají podle ZKB povinnost do 30 dní od posouzení VIS nahlásit prostřednictvím předepsaného formuláře kontaktní údaje na NBÚ (kontaktní údaje k danému systému, základní informace o daném systému a rozsazích IP adres, které používá apod.) Jako kontaktní osoba má být uvedena osoba odpovědná za tento systém, nejlépe garant, který má rozhodovací pravomoci v souvislosti se systémem. Zároveň bude nutné nejpozději do 1 roku ode dne naplnění určujících kritérií významného informačního systému plnit povinnosti dle ZKB a zavést bezpečnostní opatření dle tohoto zákona. |
| Návrh řešení | Na základě jmenovacího dekretu čj. 26432/2015 byl ustanoven pracovní tým za účelem implementace procesního rámce systému řízení informační bezpečnosti (dále jen ISMS ) dle mezinárodní normy ISO/IEC 27001. Tento tým vydefinoval 19 informačních systémů (dále jen IS ), které jsou nezbytné pro fungování krajského úřadu (materiál RK-03-2016-35, př. 1). Následně byly vybrány čtyři IS (materiál RK-03-2016-35, př. 2), které naplňují určující kritéria dle vyhlášky a lze je tedy označit jako VIS. Výběr těchto čtyř systémů rovněž doporučila Rada Asociace krajů svým usnesením č. 226 ze dne 20. listopadu 2015, kde v odkazu na závěry ze zasedání Komise Rady AKČR pro informační technologie ve veřejné správě doporučuje konkrétní informační systémy pro označení za významné. Pracovní tým vypracoval závěrečnou zprávu o posouzení IS z hlediska významnosti definované vyhláškou, viz materiál RK-03-2016-35, př. 3. Odbor analýz a podpory řízení Krajského úřadu Kraje Vysočina navrhuje Radě Kraje Vysočina: - určit informační systémy uvedené v příloze RK-03-2016-35, př. 2 jako významné a nahlásit je na NBÚ - schválit závěrečnou zprávu dle materiálu RK-03-2015-35, př. 3 - uložit Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina určování významných informačních systémů a jejich nahlašování na NBÚ v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti - uložit Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina informovat radu kraje o dalších nově určených a nahlášených významných informačních systémech, a to vždy k 31. 12. příslušného kalendářního roku, v němž byly nově označené významné informační systémy určeny a nahlášeny |
| Stanoviska | Odbor informatiky souhlasí s navrženým postupem i identifikovanými významnými informačními systémy. Postup identifikace VIS krajů byl opakovaně konzultován s Národním bezpečnostním úřadem a koordinován v rámci Asociace krajů. Příslušná opatření nad identifikovanými VIS v souladu s požadavky zákona o kybernetické bezpečnosti budou prodiskutována a realizována v rámci pracovního týmu pro implementaci ISMS. |
| Návrh usnesení | Rada kraje určuje významné informační systémy uvedené v materiálu RK-03-2016-35, př. 2; schvaluje závěrečnou zprávu dle materiálu RK-03-2015-35, př. 3; ukládá * Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina určování významných informačních systémů a jejich nahlašování na NBÚ v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti; * Odboru analýz a podpory řízení Krajského úřadu Kraje Vysočina informovat radu kraje o dalších nově určených a nahlášených významných informačních systémech, a to vždy k 31. 12. příslušného kalendářního roku, v němž byly nově označené významné informační systémy určeny a nahlášeny. |
| Odpovědnost | OAPŘ |
| Termín | průběžně |