Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
nap:pravidla:pravidla_cms_kivs [2020/05/13 09:21] – Tomáš Šedivec | nap:pravidla:pravidla_cms_kivs [2021/04/29 14:29] (aktuální) – include změny Tomáš Šedivec | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | < | + | ======Pravidla pro Komunikační infrastrukturu veřejné správy====== |
- | Zákon 365/2000 sb. v aktuálním znění, zavedl povinnost publikovat služby ISVS jednotlivým uživatelům prostřednictvím Centrálního místa služeb (také jako CMS). V kombinaci s komunikační infrastrukturou veřejné správy (také jako KIVS) zavádí pro jednotlivé orgány veřejné správy bezpečnou, od internetu oddělenou, komunikační infrastrukturu poskytující pro jednotlivé orgány veřejné správy: | + | {{section> |
- | + | ||
- | * Bezpečný a spolehlivý přístup k aplikačním službám jednotlivých ISVS | + | |
- | * Bezpečnou a spolehlivou publikaci aplikačních služeb jednotlivých ISVS | + | |
- | * Bezpečný přístup do internetu | + | |
- | * Bezpečný přístup k poštovním službám v internetu | + | |
- | * Zabezpečuje bezpečné síťové prostředí pro zajištění interoperability v rámci EU | + | |
- | * Umožňuje bezpečný přístup k aplikačním službám ISVS určeným pro koncové klienty VS ze sítě internet | + | |
- | + | ||
- | Cílem je: | + | |
- | + | ||
- | * Publikovat bezpečným způsobem přes CMS/KIVS všechny aplikační služby centralizovaných ISVS se současným zajištěním bezpečného přístupu jednotlivých OVS k těmto službám při výkonu jejich působnosti. | + | |
- | * Umožnit bezpečný přístup k aplikačním službám ISVS určeným pro koncové klienty VS ze sítě internet | + | |
- | * Zabezpečit bezpečné síťové prostředí pro zajištění interoperability v rámci EU | + | |
- | + | ||
- | Centrální místo služeb, jakožto součást komunikační infrastruktury veřejné správy, je systém, jehož primárním účelem je zprostředkovávat řízené a evidované propojení informačních systémů subjektů státní správy ke službám (aplikacím), | + | |
- | + | ||
- | CMS tak můžeme nazvat privátní sítí pro výkon veřejné správy na území státu. | + | |
- | + | ||
- | ===== Připojení k CMS ===== | + | |
- | + | ||
- | CMS jako privátní síť veřejné správy využívá dedikovaných resp. pronajatých síťových prostředků pro bezpečné propojení úředníků orgánů veřejné správy (OVS) pracujících v agendách veřejné správy s jejich vzdálenými agendovými informačními systémy, pro bezpečné síťové propojení agendových systémů navzájem a pro bezpečný přístup jednotlivých OVS do Internetu. | + | |
- | + | ||
- | Připojení k CMS je možné realizovat prostřednictvím: | + | |
- | - Neveřejného KIVS operátora (Krajské sítě, Metropolitní sítě, ITS Ministerstva vnitra a další) | + | |
- | - Veřejného KIVS operátora (Soutěž KIVS operátora přes centrálního zadavatele MVČR) | + | |
- | - IPsec VPN | + | |
- | - SSL VPN | + | |
- | + | ||
- | Pro OVS jsou přípustné pouze první 2 varianty - Neveřejný a veřejný KIVS operátor, komunikace mezi jednotlivými OVS je tak vedena výhradně prostřednictvím KIVS/CMS, tzn. jednotlivé OVS mají povinnost přistupovat k informačním systémům veřejné správy (ISVS) pouze prostřednictvím KIVS/CMS. | + | |
- | + | ||
- | ==== IPsec a jeho úskalí ==== | + | |
- | + | ||
- | Ačkoliv jsou pro OVS přípustná jen připojení pomocí KIVS, existují úřady využívající připojení IPsec, který se ovšem nehodí pro kritické služby a funkce úřadování. Nevhodné je toto připojení např. pro systém CDBP (systém sběru žádostí o vydání občanského průkazu nebo cestovního dokladu občana České republiky), kdy mohou nastat následující rizika: | + | |
- | - Spojení realizovaná prostřednictvím kryptografických prostředků přes veřejný internet nejsou vhodná jako primární způsob čerpání služeb, které mají mít garantovanou funkčnost a dostupnost. Systém CDBP je koncepčně založen na předpokladu provozu na vyhrazené síti, která je zcela oddělena od běžného internetového provozu a tomu odpovídá i úroveň jeho zabezpečení. | + | |
- | - V rámci spojení realizovaných prostřednictvím veřejného internetu není možné dostatečným způsobem garantovat následující: | + | |
- | * požadavek na dostupnost, protože internet není zaručeně garantované přenosové prostředí s definovanými SLA, | + | |
- | * požadavek na propustnost, | + | |
- | * požadavek na fungování protokolu WoL, který umožňuje dálkové „probouzení“ jednotlivých pracovních stanic systému CDBP bez zásahu obsluhy, je nezbytný z důvodů distribuce nových verzí SW, stahování logů či jiných činností souvisejících s provozem Systému CDBP. | + | |
- | - Na základě výše uvedeného reálně hrozí, v případě využití IPsec, riziko výpadků spojení při pořizování žádostí o občanské průkazy a cestovní pasy, což může vést ke zpomalení nebo úplné nedostupnosti pracovišť systému CDBP. V případě, že by v důsledku užívání IPsec, nebylo možné dálkově nainstalovat na koncová pracoviště systému CDBP aktualizace, | + | |
- | + | ||
- | ===== CMS, popis zahrnutých služeb ===== | + | |
- | + | ||
- | Odbor Hlavního architekta eGovernmentu a Ministerstvo vnitra v rámci svých kompetencí požaduje od jednotlivých správců ISVS, aby služby ISVS publikovaly v rámci Centrálního místa služeb – CMS (služba CMS2 -02, CMS2 -04). | + | |
- | + | ||
- | Jednotliví uživatelé ISVS na úrovní státní správy a samosprávy služby těchto systémů konzumují, resp. k ISVS přistupují výhradně prostřednictvím CMS (služba CMS2 -03). | + | |
- | + | ||
- | + | ||
- | ==== Služba CMS2 – 02 – Zveřejnění aplikace ==== | + | |
- | + | ||
- | + | ||
- | ^ Název parametru^ Vysvětlení | | + | |
- | | Kód služby| CMS2-02 | | + | |
- | | Název služby| Zveřejnění aplikace | | + | |
- | | Popis služby| Služba vytvoří prostředí pro publikaci aplikační služby informačního systému OVM. Varianty služby se liší podle cílového prostředí. Možné varianty jsou: 1. do sítě Internet 2. do sítě CMS 3. do sítě TESTA-ng 4. do Extranetu | | + | |
- | Aplikační služba může být umístěna v infrastruktuře orgánu nebo v infrastruktuře Národního datového centra (NDC). Aplikační služba může být zveřejněna do více prostředí současně. Aplikační služba je zveřejněna na definovaných protokolech a portech. | + | |
- | + | ||
- | Při zveřejnění aplikace do sítě Internet jsou aplikaci přiděleny veřejné IP adresy z prostoru CMS. Přístup ke zveřejněné službě může být omezen na definované zdrojové IP adresy. | + | |
- | + | ||
- | Při zveřejnění aplikace do sítě CMS jsou aplikaci přiděleny privátní IP adresy z prostoru CMS (Konsolidované IP adresy). Službu je možné zveřejnit pro všechny ostatní subjekty připojené do sítě CMS (Veřejná služba) nebo pro definované subjekty a skupiny subjektů (Schvalovaná služba). O přístup ke Schvalované službě musí přistupující subjekty žádat prostřednictvím služby CMS203-1. | + | |
- | + | ||
- | Při zveřejnění aplikace do sítě TESTA-ng (síť EU) jsou aplikaci přiděleny IP adresy z prostoru pro ČR v síti TESTA-ng. Přístup ke zveřejněné službě je omezen na definované zdrojové IP adresy. Zveřejnění aplikace musí být provozováno v souladu s provozními a bezpečnostními požadavky EU pro síť TESTA-ng. | + | |
- | + | ||
- | Při zveřejnění aplikace do Extranetu jsou aplikaci přiděleny privátní IP adresy z prostoru CMS (Konsolidované IP adresy). Aplikační služba je zveřejněna do existujícího extranetu (extranet vytváří Správce CMS). Přístup k aplikaci v extranetu je umožněn všem uživatelům, | + | |
- | + | ||
- | + | ||
- | ==== Služba CMS2 – 03 – Přístup k aplikaci ==== | + | |
- | + | ||
- | + | ||
- | ^ Název parametru^ Vysvětlení | | + | |
- | | Kód služby| CMS2-03 | | + | |
- | | Název služby| Přístup k aplikaci | | + | |
- | | Popis služby| Služba umožňuje zřizovat a rušit přístupy k aplikačním službám. Varianty služby se liší podle cílového prostředí. Možné varianty představují přístup: 1. k aplikaci v síti CMS 2. k aplikaci v síti TESTA-ng 3. k aplikaci v síti Internet | | + | |
- | Služba umožňuje zřizovat, měnit a rušit přístupy subjektu k nabízené aplikační službě. Jednou žádostí lze zřídit přístup právě k jedné aplikační službě. Připojení je povoleno z definovaných IP adres v síti subjektu. | + | |
- | + | ||
- | Přístup k aplikaci v síti CMS umožní subjektu připojení k aplikační službě zveřejněné jiným subjektem prostřednictvím služby CMS2-02-2 v síti CMS. Zřízení přístupu je podmíněno souhlasem vlastníka zveřejněné aplikační služby, které probíhá prostřednictvím portálu CMS. | + | |
- | + | ||
- | Přístup k aplikaci v síti TESTA-ng umožní subjektu připojení k aplikační službě zveřejněné jiným státem Evropské unie v síti TESTA-ng. Připojení je povoleno na definovaných protokolech a portech. Přístup k aplikaci musí být provozován v souladu s provozními a bezpečnostními požadavky EU pro síť TESTA-ng. | + | |
- | + | ||
- | Přístup k aplikaci v síti Internet umožní subjektu připojení k aplikační službě zveřejněné v síti Internet na definovaných protokolech a portech. Cílovou aplikační službu v síti Internet je nutné definovat konkrétními IP adresami, protokoly a porty. | + | |
- | + | ||
- | + | ||
- | ==== Služba CMS2 – 04 – Publikace AIS na eGSB/ISSS ==== | + | |
- | + | ||
- | + | ||
- | ^ Název parametru^ Vysvětlení | | + | |
- | | Kód služby| CMS2-04 | | + | |
- | | Název služby| Publikace AIS na [[: | + | |
- | | Popis služby| Služba zajišťuje zpřístupnění publikačního agendového informačního systému (AIS) v rámci CMS a povolení síťové komunikace s rozhraním [[: | + | |
- | Služba zajistí provozovateli publikačního agendového informačního systému (AIS) síťovou konektivitu mezi [[: | + | |
- | + | ||
- | Ve výchozím stavu je komunikace mezi [[: | + | |
- | + | ||
- | + | ||
- | ===== Právní aspekty ===== | + | |
- | + | ||
- | S výjimkou tzv. provozních informačních systémů, které jsou uvedeny v § 1 odst. 4 písm. a) až d) zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ZoISVS), je § 6g odst. 3 tohoto zákona správcům ISVS uložena povinnost poskytovat služby informačních systémů veřejné správy prostřednictvím CMS. Organům veřejné správy je prostřednictvím § 6g odst. 4 ZoISVS uložena povinnost využívat sítě elektronických komunikací CMS.¨ | + | |
- | + | ||
- | Protože skrze CMS se publikují služby tzv. [[nap:referencni_rozhrani|referenčního rozhraní]], | + | |
- | + | ||
- | S ohledem na výše popsané vlastnosti CMS, jakož i s ohledem na výše popsané právní aspekty, lze také dodat, že využívání, | + |