| Následující verzeObě strany příští revize |
znalostni_baze:pravidla_federace_portalu [2022/02/22 12:52] – vytvořeno Tomáš Šedivec | znalostni_baze:pravidla_federace_portalu [2022/02/22 13:07] – Tomáš Šedivec |
---|
| |
^**Pravidlo** ^**Definice a zprovoznění katalogu centrálních komponent**^ | ^**Pravidlo** ^**Definice a zprovoznění katalogu centrálních komponent**^ |
|**Platí pro**|eGov (Federující portál) | | |**Platí pro**| eGov (Federující portál) | |
| |**Technický důsledek**| Budou vypracována metodická pravidla jednak pro vznik a provoz centrálních komponent v kontextu odpovídajícího technologického řešení, požadované úrovně bezpečnosti apod, a dále budou vytvořena metodická pravidla pro práci s centrálními komponentami, která budou zveřejněna pro implementátory např. na archi.gov.cz.| |
Budou vypracována metodická pravidla jednak pro vznik a provoz centrálních komponent v kontextu odpovídajícího technologického řešení, požadované | |**Bezpečnostní důsledek**| U každé komponenty jsou popsána pravidla a postupy pro její bezpečnou implementaci do federujícího portálu a implementace služeb sdílené komponenty do federovaného portálu((Pravidla a postupy upřesňují tzv. Architektonický vzor, spojený s centrální sdílenou komponentou a jejím použitím)). Těmito jsou její uživatelé povinni se řídit.\\ \\ Při vývoji komponenty je dodržena metodika tvorby bezpečného kódu pro státní správu.| |
| |**Právní důsledek**| S ohledem na pravděpodobnou povahu federujícího portálu jako významného informačního systému, bude nezbytné splnit povinnosti vyplývající ze ZKB a jeho prováděcích právních předpisů (VoKB), zejména zavést a provádět bezpečnostní opatření, určit bezpečnostní role (manažera a architekta kybernetické bezpečnosti, garanta aktiv, ad.), vést bezpečnostní dokumentaci, detekovat a hlásit NÚKIB kybernetické bezpečnostní incidenty a případně provádět příslušná nápravná opatření.| |
**Technický důsledek** úrovně bezpečnosti apod, a dále budou vytvořena | |
| |
metodická pravidla pro práci s centrálními komponentami, která budou zveřejněna pro implementátory např. na archi.gov.cz. | |
| |
|**Bezpečnostní důsledek**|U každé komponenty jsou popsána pravidla a postupy pro její bezpečnou implementaci do federujícího portálu a implementace služeb sdílené komponenty do federovaného portálu<sup>10</sup>. Těmito jsou její uživatelé povinni se řídit.\\ \\ Při vývoji komponenty je dodržena metodika tvorby bezpečného kódu pro státní správu.| | |
| |
S ohledem na pravděpodobnou povahu federujícího portálu jako významného informačního systému, bude nezbytné splnit povinnosti vyplývající ze ZKB a jeho prováděcích právních předpisů (VoKB), zejména zavést a provádět bezpečnostní opatření, určit | |
| |
**Právní důsledek** | |
| |
bezpečnostní role (manažera a architekta kybernetické bezpečnosti, garanta aktiv, ad.), vést bezpečnostní dokumentaci, detekovat a hlásit NÚKIB kybernetické bezpečnostní incidenty a případně provádět příslušná nápravná opatření. | |
| |
Centrálně garantované komponenty v obou formách, musí mít implementovány velmi detailní monitoring provozu a dostatečně dimenzované oddělení podpory pro odpovídání dotazů uživatelům, a též pracovníkům federovaných portálů, na něž se jejich uživatelé budou také zcela jistě obracet s dotazy. Při implementaci služby centrální garantované komponenty nelze lokálně zaručit správnou funkcionalitu v daný okamžik. Při implementaci centrálně dostupného sdíleného kódu může být situace komplikovanější. Také centrálně dostupný sdílený kód může mít centrálně implementován monitoring, ale vzhledem k možnosti kód upravovat lokálním vývojovým týmem je nutné detailní monitoring provozu zajistit především ve federovaném portále a případnému centru (autorovi otevřeného kódu) předávat detailní výstupy z něj. Může také existovat varianta centrálně dostupného sdíleného kódu, který není otevřený, a jehož úpravy nebudou žádoucí nebo budou zakázané. Takové řešení se zajišťuje vhodnou licenční politikou, která samozřejmě nezakazuje uživateli sdíleného | Centrálně garantované komponenty v obou formách, musí mít implementovány velmi detailní monitoring provozu a dostatečně dimenzované oddělení podpory pro odpovídání dotazů uživatelům, a též pracovníkům federovaných portálů, na něž se jejich uživatelé budou také zcela jistě obracet s dotazy. Při implementaci služby centrální garantované komponenty nelze lokálně zaručit správnou funkcionalitu v daný okamžik. Při implementaci centrálně dostupného sdíleného kódu může být situace komplikovanější. Také centrálně dostupný sdílený kód může mít centrálně implementován monitoring, ale vzhledem k možnosti kód upravovat lokálním vývojovým týmem je nutné detailní monitoring provozu zajistit především ve federovaném portále a případnému centru (autorovi otevřeného kódu) předávat detailní výstupy z něj. Může také existovat varianta centrálně dostupného sdíleného kódu, který není otevřený, a jehož úpravy nebudou žádoucí nebo budou zakázané. Takové řešení se zajišťuje vhodnou licenční politikou, která samozřejmě nezakazuje uživateli sdíleného |
| |
<sup>10</sup> Pravidla a postupy upřesňují tzv. Architektonický vzor, spojený s centrální sdílenou komponentou a jejím použitím. | |
| |
kódu aplikaci úprav, ale varuje ho, že tak např. činí na vlastní odpovědnost. Pro přiblížení, ve veřejné správě hojně využívaný portálový framework Liferay disponuje přesně podobnými principy – je možné upravovat funkcionality portálu pomocí tzv. hooks a extensions, přičemž druhé z nich jsou v Liferay na vlastní nebezpečí. Praxe ukáže různorodost všech možností a dle toho bude potřeba přizpůsobit podmínky provozu a umístění týmů podpory. | kódu aplikaci úprav, ale varuje ho, že tak např. činí na vlastní odpovědnost. Pro přiblížení, ve veřejné správě hojně využívaný portálový framework Liferay disponuje přesně podobnými principy – je možné upravovat funkcionality portálu pomocí tzv. hooks a extensions, přičemž druhé z nich jsou v Liferay na vlastní nebezpečí. Praxe ukáže různorodost všech možností a dle toho bude potřeba přizpůsobit podmínky provozu a umístění týmů podpory. |