Regulace cloud computingu
Zdroj: IT Systems
Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. David Sláma
V prvním článku o cloud computingu jsme představili základy legislativní regulace poskytování cloudových služeb orgánům veřejné správy. V minulém článku jsme se věnovali bezpečnostním úrovním a výjimkám ze zápisů do katalogu cloud computingu a také základnímu přehledu problematiky zápisů do katalogu a povinností týkajících se dodavatelských řetězců. Právě na poslední dvě jmenované oblasti se zaměří tento text.
Již minule jsme poukázali na odlišnost role poskytovatele a dodavatele v rámci dodavatelského řetězce cloud computingu. Zásadním rozdílem je, že poskytovatelé poskytují služby, které naplňují definiční znaky cloud computingu, zatímco dodavatelé nikoli. Dodavatelé proto na rozdíl od poskytovatelů nepodléhají povinnosti zápisu do katalogu cloud computingu, a to ani sami o sobě, ani ve vztahu ke svým službám. Dále se tedy zaměříme na poskytovatele a jejich služby.
Zápis poskytovatele do katalogu
Připomeňme, že regulace cloud computingu vychází ze zákona č. 365/2000 Sb., o informačních systémech veřejné správy („ZISVS“). ZISVS stanoví požadavky, jejichž splnění musí poskytovatel doložit při svém zápisu do katalogu, stejně jako při zápisu svých služeb. Proces zápisu poskytovatele byl zamýšlen jako zevrubný, aby prokázal důvěryhodnost a spolehlivost poskytovatele a zjednodušil následný zápis jednotlivých služeb. V praxi se ovšem těžiště prokazování naplnění rozličných požadavků přesunulo do procesu zápisu nabídky, zatímco zápis poskytovatele je spíše formální.
Požadavky na poskytovatele v oblasti zajištění základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací specifikuje vyhláška č. 316/2012 Sb., o některých požadavcích pro zápis do katalogu cloud computingu („Vyhláška“) ve své příloze 1. Ty se omezují na doložení sídla nebo zástupce v členském státu EU. Součástí požadavků je také ověření bezúhonnosti poskytovatele a jeho ovládajících osob v určitých oblastech, pro něž se však žádný podklad nevyžaduje, ověření proběhne pomocí informací z interních systémů Národního úřadu pro kybernetickou a informační bezpečnost („NÚKIB“).
O žádosti o zápis poskytovatele rozhoduje Digitální a informační agentura („DIA“), které se žádost podává, ve lhůtě 45 dnů. Pro posouzení splnění některých požadavků si DIA vyžádá závazné stanovisko NÚKIB, který má na jeho vydání tři měsíce.
DIA si může další informace nutné pro posouzení žádosti poskytovatele o zápis do katalogu vyžádat od dalších orgánů. Jsou mezi nimi Finanční správa ČR, Celní správa ČR, orgán sociálního zabezpečení, zdravotní pojišťovny, Ministerstvo spravedlnosti, NÚKIB, Policie ČR či zpravodajské služby. Po dobu vyžádání těchto informací neběží DIA 45denní lhůta pro vyřízení žádosti, a to až po dobu třech měsíců. Je zřejmé, že zápis poskytovatele je poměrně časově náročný a je nutné s větší délkou řízení počítat.
Zápis nabídky do katalogu
ZISVS pro zápis nabídky stanoví poskytovateli povinnost doložit řadu podkladů. Jestliže složitost prověřování poskytovatele v rámci zápisu měla usnadnit následný zápis jednotlivých služeb, praxe ukázala, že komplexita skutečností dokládaných v rámci zápisu nabídky celý proces komplikuje a záměr zákonodárce v tomto ohledu zůstal nenaplněn.
V souladu se ZISVS poskytovatel k žádosti o zápis nabídky připojí:
- seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy,
- dokumentaci nabízeného cloud computingu.
Další dokumenty je nutno přiložit, pokud jsou vyžadovány předpisy upravujícími kybernetickou bezpečnost, a to:
- doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací,
- zprávu o provedení penetračního testu nabízeného cloud computingu,
- plán zajištění kontinuity provozu nabízeného cloud comutingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, případně auditní zprávu osvědčující jejich existenci,
- doklad o zhodnocení zdrojů rizik nabízeného cloud computingu,
- podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem.
Obecně platí, že DIA zapíše nabídku do 30 dnů od podání žádosti, pokud cloud computing splňuje zákonné požadavky. V otázce posouzení dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy a požadavků na podpůrný cloud computing (viz dále) DIA vyžádá závazné stanovisko NÚKIB, který má na jeho vydání také 30 dnů.
V praxi je však časté, že je nezbytné doplnění či upřesnění podkladů, což celé řízení prodlužuje. Pokud poskytovatel zápisem reaguje na zadávací řízení, může se snadno dostat do situace, kdy nebude v případě vítězství v zakázce schopen uzavřít se zadavatelem smlouvu, protože zadavatel bude k okamžiku uzavření smlouvy požadovat zápis poskytovatele poskytovaných služeb v katalogu. Je proto zcela zásadní zápis poskytovatele i nabídky řešit s dostatečnou časovou rezervou.
Podpůrný cloud computing
V cloudových službách je běžné, že se služby různě doplňují, a jsou proto na sobě různě závislé. ZISVS obsahuje jen velmi stručnou definici podpůrného cloud computingu: jde o cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu. V rámci dodavatelského řetězce je proto nutné zkoumat u každé služby, zda naplňuje definici cloud computingu. Pokud ne, jde o službu dodavatele. Typicky se bude jednat o outsourcované služby help desku či třeba dodávku hardwaru do datového centra poskytovatele. Poskytovatel v rámci žádosti o zápis nabídky do katalogu pouze uvede své dodavatele a jejich výrobky a služby, které využívá v rámci zapisovaného cloud computingu.
Pokud ale služba využívaná pro poskytování zapisovaného cloud computingu sama o sobě je cloud computingem, je vyžadován zápis takové služby i jejího poskytovatele do katalogu. Příkladem podpůrného cloud computingu může být využití multitenantního datového úložiště subjektu odlišného od primárního poskytovatele.
ZISVS připouští i situaci, kdy poskytovatel zapisuje do katalogu nabídku, která využívá podpůrného cloud computingu, jenž zatím není sám v katalogu zapsaný jako nabídka. V takovém případě je však nutné k žádosti o zápis přiložit obdobné dokumenty, jako v případě nabídky samotné, a navíc smlouvu s poskytovatelem podpůrného cloud computingu.
Dokládání splnění požadavků
Detailní požadavky na uvedené doklady, plány a podklady, které ZISVS vyžaduje v rámci zápisu nabídky pro zapisovanou službu, resp. podpůrný cloud computing, a které byly uvedeny v odrážkách výše, stanoví Vyhláška, resp. její přílohy 3, 4 a 5.
Nejvýznamnější jsou požadavky pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle přílohy 3 Vyhlášky. Řada požadavků se dokládá pomocí certifikátů, konkrétně ČSN ENISO/IEC 27001, ENISO/IEC 27001 nebo ISO/IEC 27001, ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. Mnohdy jde certifikace nahradit čestným prohlášením. Dokládání skutečností je pravidelné, přičemž perioda znovudokládání splnění povinností je 15 měsíců od zápisu služby do katalogu.
Poskytovatelé by měli zpozornět, pokud chtějí nabízet služby ve třetí bezpečnostní úrovni, která vyžaduje auditní zprávu SOC 2 Type 2. Auditní zpráva nesmí být starší než 24 měsíců a kde je to relevantní, poskytovatelé ji dokládají každých 24 měsíců.
Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu se řídí přílohou 4 vyhlášky a ukládají poskytovateli doložit záznamy o provedení skenu zranitelnosti či auditní zprávou vydanou pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001, zprávou o provedení penetračního testu podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, resp. podle standardu OWASP Top 10 Web Application Security Risks. Perioda znovudokládání podkladů je 24 měsíců od zápisu služby do katalogu.
Vyhláška stanovuje požadavky na doklad o zhodnocení zdrojů rizik v příloze 5. Stanovuje obsahové náležitosti a obsah přílohy zprávy. Dále stanovuje řadu zdrojů rizik, které byste měli ve zprávě zohlednit.
Hlavně včas
Zápis poskytovatele i jednotlivých služeb do katalogu cloud computingu je časově a organizačně náročná záležitost. Neměli byste tyto procesy podceňovat a přípravám, stejně jako samotnému řízení, byste měli věnovat nejvyšší péči. Stejně tak doporučujeme nezaznamenávat zápisy až do zveřejnění vhodného zadávacího řízení – v tu chvíli už bude na zápisy pozdě.
