ЗАКОН ЗА ЕЛЕКТРОНСКО УПРАВУВАЊЕ -ПОДЗАКОНСКИ АКТИ Александар Цветановски Игор Црвенов 1
Единствен околина Насоки за техничките барања во однос на софтверската, хардверската и комуникациската инфраструктура на единствената околина за размена на податоци и документи по електронски пат 1.Технички барања Комуникациски клиент Мрежна инфраструктура 2.Тестна околина 3. Одржување, развој и животен век на постоечки веб сервиси 4. Електронска пошта 5. Пристап до информации што се разменуваат Веб прелистувачи 6. Безбедност и интегритет XML Потпис XML Енкрипција 2
Единствен околина 7.Структура на документите и податоците што се разменуваат XML шемата: - дефинира елементи кои можат да се појават во документ, - дефинира атрибути кои можат да се појават во документ, - дефинира кои елементи се деца елементи, - дефинира поредок на деца елементите, - дефинира број на елементите деца, - дефинира дали елемент е празен или може да вклучи текст, - дефинира податочни типови на елементи и атрибути, - дефинира подразбирливи и фиксни вредности за елементи и атрибути 8.Планирање на основни елементи на архитектура за комуникација со системот за Интероперабилност СОА и веб сервиси Размена на пораки 3
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем Давателите на административни услуги по електронски пат се должни да ги почитуваат следните барања за корисничките посредници, протоколи и функционалности: -Претставувањето на индустриски продукти и номенклатури да биде во согласност со ISO 10303 ("STEP - Standard for the Exchange of Product Model Data - Стандард за размена на типови податоци за продукти"), -За испраќање на електронски пораки по електронска пошта задолжително да се користи SMTP 4
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем -За капсулирање на содржината на електронските пораки задолжително да се користи протоколот MIME ("Multipurpose Internet Mail Extensions повеќенаменски интернет поштенски екстензии"), базиран на спецификациите RFC 2045-2049, усвоени од IETF (The Internet Engineering Task Force, -За дојдовна електронска пошта задолжително да се користи POP3 ("Post Office Protocol - Поштенска протокол" верзија 3.0 или понов.), -Адресите на електронската пошта на јавната и државната администрацијата треба задолжително да се во поддомејните на домејнот на Владата на РМ "gov.mk -При користење на безбедносни сертификати и директориумски услуги задолжително да се користи X.500 сетот на стандарди и LDAPv3 5
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем -За прилози кои не користат кориснички посредник преку стандарден прелистувач,односно при размена на датотеки да се користи протоколот FTP -За безбедна размена на податоци преку протоколите: HTTP, LDAP, FTP и други задолжително да се користи протоколот SSL -За шифрирање на XML пораки да се користи XMLENC ("XML Encryption Syntax and Processing XML синтакса за шифрирање и обработка") -За електронско потпишување на PDF документи задолжително е користење на PAdES (акроним за PDF напредно електронско потпишување) множество на стандарди објавено од ETSI (TS 102 778 дел 1 до 5, или понова верзија). 6
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем -Електронското потпишување на XML базирани документи да биде во согласност со тековната XML-DSig работна рамка и во согласност со директивата на Европската Унија 1999/93/EC. Задолжително е користењето на XAdES сетот на профили, верзија 1.4.1 од 15.06.2009 (XML Advanced Electronic Signature), според стандардот TS 101 903 објавен од страна на ETSI (European Telecommunications Standards Institute - Европски институт за стандардизација во телекомуникациите) или понови, и препораката "XML Signature Syntax and Processing - XML синтакса за потпишување и обработка, според препораката од W3C конзорциумот (World Wide Web Конзорциум) на 12 февруари 2002 год. 7
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем Дизајнерски и функционални барања за корисничкиот посредник Корисничкиот посредник во делот за давање на административни услуги по електронски пат задолжително треба да ги содржи следните функционалности и карактеристики: - Да обезбеди достап до електронските форми за обезбедување на административни услуги по електронски пат. - Електронските форми задолжително да имаат можност за офлајн пополнување. - Електронските форми задолжително да бидат достапни во PDF (Portable Document Format Преносен формат за документи) - Внесените информации во електронската форма потребно е да бидат зачувани во xml порака - Содржината на пополнетите полиња од електронската форма да биде графички претставена во 2-д (2 димензионален) бар код QR Code според стандардот ISO/IEC 18004:2006 8
Техничките барања за обезбедување пристап до административните услуги по електронски пат и политики на давателот за користените графички и други портали на информацискиот систем -Електронската форма задолжително да има графичко поле за нејзино потпишување од страна на корисникот. -Корисникот да има можност да ја потпише пополнетата формата електронски и рачно. -Треба да постои можност за пополнување на електронската форма и нејзино зачувување на информацискиот систем на корисникот -Поднесување на електронската форма по електронска пошта како прилог -Испраќање на потврдна електронска порака за примената електронска форма со конфирмациски код -Печатење на електронската форма на А4 лист (210 мм x 297мм) -Задолжително е користење на UNICODE кирилична поддршка 9
Насоки за начинот на користењето, запишувањето, пристапот и чувањето на евиденцијата на базите на административни услуги по електронски пат -Упатството содржи насоки за начинот на користење, запишување, пристап и чување на евиденцијата на базите на административните услуги по електронски пат -До евиденцијата пристапуваат, ја користат и запишуваат податоци, како и вршат активности поврзани со нејзино чување, само овластени лица од страна на Министерот за и администрација -Евиденцијата се чува во посебен изолиран систем, кој има соодветна физичка и техничка заштита. Евиденцијата се чува во релациона база на податоци 10
Насоки за начинот на користењето, запишувањето, пристапот и чувањето на евиденцијата на базите на административни услуги по електронски пат Системот на кој се наоѓа евиденцијата обезбедува логови на сите направени промени на евиденцијата, вклучувајќи внес на нови записи или измени на постоечките. Логовите евидентираат време на активности, корисничко име на лицето кои ги направило промените и изведената активност. На логовите се прави резервна копија која се чува на медиум за складирање, а на истата се пристапува со корисничко име и лозинка само од страна на овластените лица. Медиумот за складирање на резервната копија на евиденцијата се чува на физички обезбеден простор, во различна просторија од таа каде се наоѓа системот со евиденцијата. Логовите се чуваат најмалку три години. На евиденцијата се прави резервна копија по следната шема: еднаш неделно се прави парцијална резервна копија, а еднаш месечно целосна резервна копија 11
Насоки за дејствија по оценка и управување на ризикот -Органите се должни да спроведат проценка и оценка на ризиците по однос на безбедноста на информацискиот систем. Ваквата проценка треба да има стандардизиран и структуриран пристап во управувањето со ризиците. -Ризик претставува веројатност ранливоста/слабоста на информацискиот систем да биде искористена на начин што ќе доведе до спречување на нормалното функционирање на информацискиот систем -Процесот за управување со ризиците треба да започне во раната фаза на планирање на било кој процес или проект 12
Насоки за дејствија по оценка и управување на ризикот Процесот за управување со ризиците треба да опфаќа оценка на нивната големина, избор и спроведување на ефективни и економски мерки за нивно намалување и оценка дали преостанатите (резидуалните) ризици се во прифатливи граници Управувањето со ризикот треба да се извршува преку постојана примена на два типа циклични повторувачки дејствија: а) оценка (преоценка) на ризикот; б) избор на ефективни и економски мерки за неговата неутрализација 13
Насоки за дејствија по оценка и управување на ризикот Идентификуваните ризици можат да се: а) ликвидираат; б) намалат; в) прифатат; г) пренесат Процесот за управување со ризиците треба да биде цикличен процес и да се спроведува: а) кога преостанатиот (резидуалниот) ризик не се движи во прифатливите граници определени од страна на раководството на органот; б) по истекот на определен рок, согласно со внатрешните интерни акти на органот. 14
Насоки за нивоа на доверливост на информациите и нивоа на пристап до нив ивоата на заштита од неовластен пристап до информациите во информациските системи на органите се следните: ниво "0" или "D" - ниво. на слободен пристап; ниво "1" или "С" - ниво на слободно управување на пристап; ниво "2" или "В" - ниво на принудно управување на пристап; ниво "3" или "А" - ниво на голема безбедност. 15
Насоки за следење и управување на инциденти поврзани со информациска безбедност - Органите организираат и воспоставуваат центар за управување со инциденти поврзани со информациската безбедност (CERT тим) и развиваат формални процедури за следење и управување со безбедносни инциденти. - Безбедносен инцидент претставува настан кој предизвикува или може да предизвика нарушување на интегритетот, достапноста и доверливоста на информациските ресурси - Целта на процесот за управување со безбедносни инциденти е ефикасно и рентабилно обновување на нормалните операции што е можно побрзо, со најмалку можно негативно влијание врз деловниот процес и целите на институцијата. 16
Насоки за следење и управување на инциденти поврзани со информациска безбедност - Критичен елемент од управувањето со безбедносниот инцидентот е обновување на функциите на системот Процесот за управување со информациско - безбедносни инциденти треба да ги вклучува следните елементи: а) откривање на инцидентот; б) единствена точка за пријавување; в) евидентирање; г) доделување на приоритет на инцидентот и негова класификација; д) проценка на настанот/инцидентот и одлука за начинот на справување со него; ѓ) дефинирање на прво ниво за решавање на инциденти и услови за пренасочување на друго повисоко ниво; е) обновување; ж) верификација и затворање на инцидентот; з) идентификација на потребни подобрувања на процедурите за справување со безбедносни инциденти; ѕ) следење на инцидентите и управување со нивниот животен циклус. 17
Насоки за следење и управување на инциденти поврзани со информациска безбедност Тимот за управување со безбедносни инциденти подготвува правила за управување со безбедносни инциденти кои треба да ги содржат следните елементи: а) список на идентификувани важни функции на системот и приоритетите за обновување на функционалностите на системот б) список на идентификувани ресурси кои се неопходни за исполнување на критично важните функции; в) список на можните инциденти со веројатности за нивно појавување, произлегувајќи од оценките на ризикот; г) разработени стратегии за обновување на функционалноста на системот; д) дефинирани мерки за реализација на стратегиите. 18
Насоки за следење и управување на инциденти поврзани со информациска безбедност Правилата за заштита од инциденти, кои произлегуваат од оценката на ризикот, треба јасно да ги идентификуваат ресурсите кои е потребно да се резервираат за обновување на функциите на системот Основните правила за заштита од се: а) паралелно запишување или огледална репликација на чуваните податоци (технологии "Disk Mirroring" или "RAID" - "Redundant Array of Independent Drives"); б) создавање на центар за обновување по инциденти (т.н. "Disaster Recovery Center"), во кој што се извршува постојано архивско чување ("back-up") на информациите од системот; в) создавање на резервен центар, во кој што се одржува реплицирана состојба на критичните оперативни функции на примарниот систем, кој ќе биде во состојба да ја преземе функционалноста доколку се случи пад на системот. Органите зависно од потребите може да користат и комбинација од овие правила, со исклучок на правилото утврдено во алинејата 2 кое е задолжително. 19
Правилник за формата и содржината на основните елементи на барањето за доставување на А.У.Е.П Основни елементи -Податоци на корисникот: име,презиме и адресара на електронската пошта, назив седиште, ЕМБС Органот од кој се побарува доставување на административна услуга Законски основ и правен интерес Забелешка дека корисникот се согласува податоците содржани во барањето да може да се користат за остварување на административна услуга. Потпис во согласност со законот за електронски потпис. Формат на документ: PDF или XML 20
Законот за електронско управување Благодариме, Прашања 21