2007/170/ES2007/170/ES: Rozhodnutí Komise ze dne 16. března 2007 , kterým se stanoví požadavky na síť Schengenského informačního systému druhé generace (1. pilíř) (oznámeno pod číslem K(2007) 845)
| Publikováno: | Úř. věst. L 79, 24.8.2007, s. 20-28 | Druh předpisu: | Rozhodnutí |
| Přijato: | 16. března 2007 | Autor předpisu: | Evropská komise |
| Platnost od: | 16. března 2007 | Nabývá účinnosti: | 16. března 2007 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
ROZHODNUTÍ KOMISE
ze dne 16. března 2007,
kterým se stanoví požadavky na síť Schengenského informačního systému druhé generace (1. pilíř)
(oznámeno pod číslem K(2007) 845)
(Pouze bulharské, české, estonské, finské, francouzské, italské, litevské, lotyšské, maďarské, maltské, německé, nizozemské, polské, portugalské, rumunské, řecké, slovenské, slovinské, španělské a švédské znění je závazné)
(2007/170/ES)
KOMISE EVROPSKÝCH SPOLEČENSTVÍ,
s ohledem na Smlouvu o založení Evropského společenství,
s ohledem na nařízení Rady (ES) č. 2424/2001 ze dne 6. prosince 2001 o vývoji Schengenského informačního systému druhé generace (SIS II) (1), a zejména na čl. 4 písm. a) uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Za účelem vývoje systému SIS II je nutné stanovit technické parametry komunikační sítě, jejích komponentů a specifické požadavky na síť. |
|
(2) |
Komise se musí dohodnout s členskými státy na vhodných opatřeních, zejména pokud se týká prvků jednotného vnitrostátního rozhraní umístěného v jednotlivých členských státech. |
|
(3) |
Tímto rozhodnutím nejsou dotčena další rozhodnutí ve věci vývoje systému SIS II, a to zejména ve věci vývoje bezpečnostních požadavků, která Komise přijme v budoucnu. |
|
(4) |
Vývoj systému SIS II upravuje nařízení (ES) č. 2424/2001 a rozhodnutí Rady 2001/886/SVV (2). Má-li být zajištěno, aby vývoj systému SIS II jako celku byl prováděn v rámci jednotného postupu, ustanovení tohoto rozhodnutí musí odpovídat ustanovením rozhodnutí Komise stanovujícího parametry sítě systému SIS II, které má být přijato dle rozhodnutí 2001/886/SVV. |
|
(5) |
V souladu s rozhodnutím Rady 2000/365/ES ze dne 29. května 2000 o žádosti Spojeného království Velké Británie a Severního Irska, aby se na ně vztahovala některá ustanovení schengenského acquis (3), se Spojené království neúčastnilo přijetí nařízení (ES) č. 2424/2001, není jím vázáno a nemusí je provádět, protože se jedná o rozpracování ustanovení schengenského acquis. Toto rozhodnutí Komise není proto určeno Spojenému království. |
|
(6) |
V souladu s rozhodnutím Rady 2002/192/ES ze dne 28. února 2002 o žádosti Irska, aby se na ně vztahovala některá ustanovení schengenského acquis (4), se Irsko neúčastnilo přijetí nařízení (ES) č. 2424/2001, není jím vázáno a nemusí je provádět, protože se jedná o rozpracování ustanovení schengenského acquis. Toto rozhodnutí Komise není proto určeno Irsku. |
|
(7) |
Podle článku 5 protokolu o postavení Dánska připojeného ke Smlouvě o Evropské unii a ke Smlouvě o založení Evropského společenství se Dánsko rozhodlo provést nařízení (ES) č. 2424/2001 do dánského právního řádu. Ve smyslu mezinárodního práva je proto nařízení (ES) č. 2424/2001 pro Dánsko závazné. |
|
(8) |
Pokud jde o Island a Norsko, nařízení (ES) č. 2424/2001 a rozhodnutí 2001/886/SVV jsou rozpracováním ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (5), která spadají do oblasti uvedené v čl. 1 bodu B rozhodnutí Rady 1999/437/ES (6) o některých opatřeních pro uplatňování uvedené dohody. |
|
(9) |
Pokud jde o Švýcarsko, nařízení (ES) č. 2424/2001 a rozhodnutí 2001/886/SVV jsou rozpracováním ustanovení schengenského acquis ve smyslu dohody uzavřené mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis, které spadá do oblasti uvedené v čl. 4 odst. 1 rozhodnutí Rady o podpisu dohody jménem Evropského společenství a o prozatímním uplatňování některých ustanovení uvedené dohody. |
|
(10) |
Toto rozhodnutí je aktem navazujícím na schengenské acquis nebo s ním jinak souvisejícím ve smyslu čl. 3 odst. 1 aktu o přistoupení. |
|
(11) |
Opatření tohoto rozhodnutí jsou v souladu se stanoviskem Výboru zřízeného podle čl. 6 odst. 1 nařízení (ES) č. 2424/2001, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Technické požadavky na koncepci fyzické architektury systému komunikační infrastruktury SIS II jsou uvedeny v příloze.
Článek 2
Toto rozhodnutí je určeno Belgickému království, Bulharské republice, České republice, Spolkové republice Německo, Estonské republice, Řecké republice, Španělskému království, Francouzské republice, Italské republice, Kyperské republice, Lotyšské republice, Litevské republice, Lucemburskému velkovévodství, Maďarské republice, Republice Malta, Nizozemskému království, Rakouské republice, Polské republice, Portugalské republice, Rumunsku, Republice Slovinsko, Slovenské republice, Finské republice a Švédskému království.
V Bruselu dne 16. března 2007.
Za Komisi
Franco FRATTINI
místopředseda
(1) Úř. věst. L 328, 13.12.2001, s. 4. Nařízení ve znění nařízení (ES) č. 1988/2006 (Úř. věst. L 411, 30.12.2006, s. 1).
(2) Úř. věst. L 328, 13.12.2001, s. 1.
(3) Úř. věst. L 131, 1.6.2000, s. 43. Rozhodnutí ve znění rozhodnutí 2004/926/ES (Úř. věst. L 395, 31.12.2004, s. 70).
(4) Úř. věst. L 64, 7.3.2002, s. 20.
(5) Úř. věst. L 176, 10.7.1999, s. 36.
(6) Úř. věst. L 176, 10.7.1999, s. 31.
PŘÍLOHA
OBSAH
|
1. |
Úvod … |
|
1.1 |
Akronymy a zkratky … |
|
2. |
Všeobecný přehled … |
|
3. |
Zeměpisný rozsah … |
|
4. |
Síťové služby … |
|
4.1 |
Struktura sítě … |
|
4.2 |
Propojení hlavního a záložního systému CS-SIS … |
|
4.3 |
Přenosový výkon … |
|
4.4 |
Třídy služeb … |
|
4.5 |
Podporované protokoly … |
|
4.6 |
Technické specifikace … |
|
4.6.1 |
Adresování IP … |
|
4.6.2 |
Podpora IPv6 … |
|
4.6.3 |
Statické směrování … |
|
4.6.4 |
Plynulý datový tok … |
|
4.6.5 |
Ostatní technické požadavky … |
|
4.7 |
Odolnost proti výpadku … |
|
5. |
Monitoring … |
|
6. |
Běžné služby … |
|
7. |
Dostupnost … |
|
8. |
Zabezpečovací služby … |
|
8.1 |
Šifrování datového toku … |
|
8.2 |
Ostatní zabezpečovací prvky … |
|
9. |
Helpdesk a technická podpora … |
|
10. |
Komunikace s jinými systémy … |
1. Úvod
Tento dokument popisuje koncepci komunikační sítě, jejích komponentů a specifické požadavky na síť.
1.1 Akronymy a zkratky
V této části jsou popsány akronymy a zkratky používané v tomto dokumentu.
|
Akronymy a zkratky |
Vysvětlení |
|
BLNI |
Záložní vnitrostátní rozhraní |
|
CEP |
Central End Point (centrální koncový bod) |
|
CNI |
Centrální vnitrostátní rozhraní |
|
CS |
Centrální systém |
|
CS-SIS |
Technické podpůrné funkce obsahující databázi SIS II |
|
DNS |
Domain Name Server (server doménových jmen) |
|
FCIP |
Fibre Channel over IP (tunelovací protokol, jenž slouží k rozšíření sítě založené na technologii optického kabelu) |
|
FTP |
File Transport Protocol (přenosový protokol) |
|
HTTP |
Hyper Text Transfer Protocol (přenosový protokol) |
|
IP |
Internet Protocol (přenosový protokol) |
|
LAN |
Local Area Network (místní datová síť) |
|
LNI |
Místní vnitrostátní rozhraní |
|
Mbps |
Jednotka přenosové rychlosti (Megabity za sekundu) |
|
MDC |
Main Developer Contractor (hlavní smluvní dodavatel pro vývoj) |
|
N.SIS II |
Vnitrostátní součást systému SIS II v jednotlivých členských státech |
|
NI-SIS |
Jednotné vnitrostátní rozhraní |
|
NTP |
Network Time Protocol (protokol pro synchronizaci systémového času) |
|
SAN |
Storage Area Network (Samostatná úložná síť) |
|
SDH |
Synchronní digitální hierarchie |
|
SIS II |
Schengenský informační systém 2. generace |
|
SMTP |
Simple Mail Transport Protocol (přenosový protokol používaný pro elektronickou poštu) |
|
SNMP |
Simple Network Management Protocol (přenosový protokol používaný pro správu sítí) |
|
s-TESTA |
Celoevropská síť pro zabezpečenou výměnu dat mezi státními správami (Secure Trans-European Services for Telematics between Administrations) – opatření programu IDABC (Interoperabilní poskytování celoevropských služeb elektronické správy (eGovernment) orgánům veřejné správy, podnikům a občanům. Rozhodnutí Evropského parlamentu a Rady 2004/387/ES ze dne 21. dubna 2004). |
|
TCP |
Transmission Control Protocol (spojově orientovaný protokol pro přenos dat) |
|
VIS |
Vízový informační systém |
|
VPN |
Virtual Private Network (virtuální privátní síť) |
|
WAN |
Wide Area Network (rozsáhlá datová síť) |
2. Všeobecný přehled
Složení systému SIS II:
|
— |
centrální systém (dále jen „Centrální SIS II“) sestávající z:
|
|
— |
vnitrostátní součásti (dále jen „N.SIS II“) provozované v každém z členských států, sestávající z vnitrostátních databázových systémů, které komunikují s centrálním SIS II. Vnitrostátní N.SIS II může obsahovat soubor údajů (dále jen „vnitrostátní kopie“) obsahující úplnou nebo částečnou kopii referenční databáze pro SIS II, |
|
— |
komunikační infrastruktura mezi CS-SIS a NI-SIS (dále jen „komunikační infrastruktura“), která zabezpečuje komunikaci pomocí šifrované virtuální sítě vyhrazené pro přenos dat v rámci SIS II a mezi kancelářemi SIRENE. |
Rozhraní NI-SIS se skládá z:
|
— |
jednoho lokálního vnitrostátního rozhraní (dále jen „LNI“) provozovaného v každém členském státě, které fyzicky připojuje členský stát na zabezpečenou komunikační síť a obsahuje šifrovací zařízení pro přenos dat v rámci SIS II a SIRENE. LNI je umístěno na území členského státu, |
|
— |
případně ze záložního lokálního vnitrostátního rozhraní (dále jen „BLNI“), které je totožné obsahem i funkcemi s LNI. |
LNI a BLNI musí být používána pouze pro systém SIS II a pro výměnu dat v rámci SIRENE. Přesná konfigurace LNI a BLNI bude specifikována po dohodě s každým z členských států, v zájmu zajištění požadavků na bezpečnost, fyzické umístění a podmínky instalace těchto rozhraní i na služby operátora sítě tak, aby fyzické spojení s-TESTA mohlo obsahovat více VPN tunelů k propojení na jiné systémy, např. VIS a Eurodac,
|
— |
centrálního vnitrostátního rozhraní (dále jen „CNI“), což je aplikace poskytující zabezpečený přístup k CS-SIS. Každý stát má svůj logický přístupový bod do CNI přes centrální firewall. |
Komunikační infrastruktura mezi CS-SIS a NI-SIS se skládá z:
|
— |
celoevropské sítě pro zabezpečenou výměnu dat mezi státními správami (Secure Trans-European Services for Telematics between Administrations, dále jen „s-TESTA“) umožňující šifrovanou výměnu dat v rámci virtuální, privátní sítě, vyhrazené pro přenos dat v rámci SIS II a SIRENE. |
3. Zeměpisný rozsah
Komunikační infrastruktura musí být schopna pokrýt všechny členské státy a poskytovat jim požadované služby.
Týká se to všech členských států EU (Belgie, Francie, Německo, Lucembursko, Nizozemsko, Itálie, Portugalsko, Španělsko, Řecko, Rakousko, Dánsko, Finsko, Švédsko, Kypr, Česká republika, Estonsko, Maďarsko, Lotyšsko, Litva, Malta, Polsko, Slovensko, Slovinsko, Spojené království a Irsko) a také Norska, Islandu, Švýcarska.
Je třeba také počítat s nutností zahrnout do systému Rumunsko a Bulharsko, které nově přistoupily k EU.
Komunikační infrastruktura musí být také rozšiřitelná na další země nebo subjekty, které budou mít přístup do centrálního SIS II (např. Europol, Eurojust).
4. Síťové služby
U pojmů protokol a architektura zmíněných v tomto textu se rozumí, že zahrnují také odpovídající budoucí technologie, protokoly a architektury.
4.1 Struktura sítě
Architektura systému SIS II je založena na využití centrálních databází, které jsou dostupné všem členským státům. Pro zajištění maximální spolehlivosti systému jsou tyto centralizované databáze duplikovány a provozovány ve dvou lokalitách, a to jednak ve Štrasburku (Francie), kde je umístěn hlavní systém CS-SIS, CU, a jednak v St Johann im Pongau (Rakousko), kde je umístěn záložní systém CS-SIS, BCU.
Centrální jednotky, hlavní i záložní, musí být přístupné ze všech členských států. Členské státy mohou disponovat více přístupovými body LNI a BLNI, jejichž prostřednictvím jsou vnitrostátní systémy propojeny s centrálními databázemi.
Vedle hlavní funkce, jíž je zajištění přístupu k centrálním databázím, musí komunikační infrastruktura také umožňovat vzájemnou výměnu dat mezi kancelářemi SIRENE jednotlivých členských států.
4.2 Propojení hlavního a záložního systému CS-SIS
Vzájemné propojení hlavního a záložního CS-SIS musí být zajištěno prostřednictvím sítě typu SDH kruhové topologie nebo její obdoby, tzn. že mohou být použity i jiné hierarchie a technologie, které budou k dispozici v budoucnu. Na technologii SDH bude založena i infrastruktura lokálních sítí obou centrálních jednotek, které bude tvořit jednoduchý nedělený LAN. Prostřednictvím lokální datové sítě bude zajišťována spojitá synchronizace dat centrální jednotky (CU) a záložní centrální jednotky (BCU).
4.3 Přenosový výkon
Zásadním požadavkem je, aby komunikační infrastruktura zajišťovala dostatečnou přenosovou rychlost pro datový provoz mezi jednotlivými body sítě, přičemž její páteřní síť musí být dimenzována na odpovídající přenosový výkon.
Přenosová rychlost, kterou bude vyžadovat LNI a fakultativní BLNI, bude však u každého členského státu jiná, a to v závislosti na tom, zda se daný stát rozhodne používat vnitrostátní kopie, využívat možnosti centrálního vyhledávání či přenosu biometrických dat.
Není tedy tak důležité, jaký skutečný přenosový výkon bude komunikační infrastruktura poskytovat, ale to, aby tento výkon odpovídal minimálním požadavkům jednotlivých členských států.
Každý z výše uvedených článků infrastruktury bude potenciálně odesílat a přijímat velké objemy dat (alfanumerických, biometrických nebo celých dokumentů). Proto je nutné, aby komunikační infrastruktura poskytovala dostatečnou minimální zaručenou přenosovou rychlost v obou směrech (tj. upload a download).
Komunikační infrastruktura musí poskytovat přenosovou rychlost v rozmezí od 2 Mbps do 155 Mbps nebo vyšší. Síť musí zaručovat dostatečnou minimální rychlost pro upload a download na všech úsecích a musí být dimenzována tak, aby unesla celkový přenosový výkon všech přístupových bodů sítě.
4.4 Třídy služeb
Centrální systém SIS II musí být schopen hierarchizovaně zpracovávat jednotlivé dotazy a hlášení. V návaznosti na tento požadavek musí komunikační infrastruktura podporovat možnost zvýhodnění určitých datových paketů vůči ostatnímu provozu (prioritizace datového toku).
Předpokládá se, že parametry zvýhodnění příslušných datových paketů v síti budou stanoveny centrálním SIS II, který pro obsluhu datových front bude používat algoritmus WFQ (Weighted Fair Queuing). Z toho vyplývá, že komunikační infrastruktura musí být schopna převzít informaci o prioritě přidělené datovému toku ve zdrojové síti LAN a odpovídajícím způsobem obsloužit datové pakety ve své páteřní síti. Navíc musí vzdálenému serveru předat původní pakety v pořadí priority, jaké jim bylo přiděleno ve zdrojové síti LAN.
4.5 Podporované protokoly
Centrální SIS II bude používat různé síťové komunikační protokoly, a komunikační infrastruktura by proto měla podporovat širokou řadu těchto protokolů. Ze standardních protokolů budou podporovány HTTP, FTP, NTP, SMTP, SNMP a DNS.
Kromě standardních protokolů musí komunikační infrastruktura podporovat také různé protokoly tunelového propojení, protokoly úložných sítí SAN a firemní protokoly používané na platformě BEA WebLogic pro komunikaci „Java to Java“. Pro šifrovaný datový přenos budou používány protokoly tunelového propojení, např. zabezpečený protokol IPsec v tunelovém režimu.
4.6 Technické specifikace
4.6.1 Adresování IP
Komunikační infrastruktura musí disponovat širokou řadou rezervovaných IP adres, které budou moci být používány pouze v rámci této sítě. Z této řady adres bude pro centrální SIS II vyhrazena série statických IP adres, které nebudou používány nikde jinde.
4.6.2 Podpora IPv6
Lze předpokládat, že protokol používaný na lokálních sítích členských států bude protokol TCP/IP. Některé sítě však budou používat verzi protokolu IPv4, zatímco jiné verzi IPv6. Přístupové body do sítě musí proto mít možnost fungovat jako brána a být schopné pracovat nezávisle na síťových protokolech používaných v centrálním systému SIS II i v N.SIS II.
4.6.3 Statické směrování
Jednotky CU a BCU mohou pro síťovou komunikaci s členskými státy používat jednu a tu samou IP adresu. Komunikační infrastruktura by tedy měla podporovat statické směrování.
4.6.4 Plynulý datový tok
Pokud je míra zátěže jednotky CU nebo BCU nižší než 90 %, daný členský stát musí být schopen nepřetržitě využívat 100 % své specifické šířky pásma.
4.6.5 Ostatní technické požadavky
Má-li komunikační infrastruktura podporovat CS-SIS, musí odpovídat následujícím minimálním technickým požadavkům:
Přenosové zpoždění nesmí být vyšší než 150 ms u 95 % paketů a než 200 ms u 100 % paketů (a to ani ve špičkovém provozu).
Ztrátovost paketů nesmí přesáhnout 10–4 u 95 % paketů a 10–3 u 100 % paketů (a to ani ve špičkovém provozu).
Výše zmíněné technické požadavky musí být aplikovány na každý přístupový bod.
Minimální odezva (Round Trip Delay) mezi jednotkami CU a BCU nesmí být delší než 60 ms.
4.7 Odolnost proti výpadku
Systém CS-SIS byl koncipován tak, aby odpovídal požadavkům na vysokou dostupnost. Systém je proto vybaven redundantně konfigurovanou architekturou, aby tak byla zajištěna jeho odolnost vůči výpadku některého z komponentů.
Jednotlivé části komunikační infrastruktury musí být rovněž odolné vůči výpadku komponentů. Týká se to následujících částí:
|
— |
páteřní síť, |
|
— |
směrovací zařízení, |
|
— |
přístupové body sítě, |
|
— |
přístupové okruhy (včetně redundantní kabeláže), |
|
— |
bezpečnostní zařízení (kryptovací jednotky, firewally apod.), |
|
— |
všechny standardní síťové služby (DNS, NTP apod.), |
|
— |
LNI/BLNI. |
Všechny mechanismy zapojení redundantních síťových zařízení v případě výpadku musí fungovat bez jakéhokoli manuálního zásahu.
5. Monitoring
Pro usnadnění monitoringu musí být monitorovací nástroje komunikační infrastruktury schopny integrace do monitorovacích zařízení orgánu pověřeného operačním řízením centrálního SIS II.
6. Běžné služby
Kromě specializovaných síťových a zabezpečovacích služeb musí komunikační infrastruktura poskytovat také běžné služby.
Z důvodů redundance musí být specializované síťové služby implementovány do obou centrálních jednotek.
Komunikační infrastruktura musí poskytovat následující volitelné běžné služby:
|
Služba |
Doplňující informace |
|
DNS |
Současný systém zajištění proti výpadku, který automaticky přepne provoz z CU na záložní BCU v případě selhání sítě, je založen na změně IP adresy na běžném serveru DNS. |
|
e-mail relay |
Používání obecných serverů pro elektronickou poštu (e-mail relay) by bylo vhodné aplikovat standardně ve všech členských státech, neboť výhodou obecných služeb je, že na rozdíl od dedikovaného serveru nezatěžují síťové zdroje hlavní a záložní jednotky. Elektronická pošta, která bude procházet službou e-mail relay, musí samozřejmě vyhovovat bezpečnostnímu vzoru. |
|
NTP |
Tuto službu lze využívat k synchronizaci času síťových zařízení. |
7. Dostupnost
CS-SIS i LNI a BLNI musí být schopny poskytovat dostupnost 99,99 % během klouzavého období 28 dnů, a to nezávisle na dostupnosti sítě.
Dostupnost komunikační infrastruktury musí být 99,99 %.
8. Zabezpečovací služby
8.1 Šifrování datového toku
Centrální SIS II nedovolí nešifrovaný přenos dat s vysokými nebo velmi vysokými požadavky na zabezpečení vně lokální datové sítě LAN. Je třeba zajistit, aby operátor sítě neměl žádný přístup k provozním datům systému SIS II, ani k datovému provozu v rámci SIRENE.
V rámci zajištění vysoké úrovně bezpečnosti musí komunikační infrastruktura podporovat správu certifikátů, resp. klíčů. Musí být také možné na dálku spravovat a monitorovat šifrovací zařízení. Šifrovací algoritmy musí odpovídat následujícím minimálním požadavkům:
|
— |
Symetrické šifrovací algoritmy:
|
|
— |
Asymetrické šifrovací algoritmy:
|
K ověření autentičnosti bude používán protokol ESP (Encapsulated Security Payload) splňující pravidla RFC2406, a to v tunelovém režimu. Datové části (payload) a základní IP hlavička budou šifrovány.
Pro mechanismus výměny klíčů jednotlivých relací bude použit protokol IKE (Internet Key Exchange).
Maximální doba platnosti klíčů IKE bude 1 den.
Doba platnosti klíčů pro jednotlivé relace bude maximálně 1 hodina.
8.2 Ostatní zabezpečovací prvky
Kromě ochrany přístupových bodů systému SIS II musí být v rámci komunikační infrastruktury zabezpečeny i volitelné běžné služby. Úroveň zabezpečení těchto služeb by měla odpovídat bezpečnostním parametrům platným pro CS-SIS. Všechny běžné služby proto musí být zabezpečeny minimálně firewallem, antivirovým programem a systémem detekce průniku. Zařízení zabezpečující tyto služby i systémy jejich ochrany by navíc měly být pod nepřetržitým dohledem (evidence a kontrola logů).
V rámci zajištění vysokého stupně bezpečnosti musí být orgán pověřený operačním řízením centrálního SIS II uvědomen o veškerých bezpečnostních incidentech, ke kterým na komunikační infrastruktuře dojde. Proto musí komunikační infrastruktura umožňovat okamžité hlášení hlavních bezpečnostních incidentů příslušnému orgánu pověřenému operačním řízením centrálního SIS II. Veškeré bezpečnostní incidenty musí být pravidelně vykazovány, např. formou měsíčních zpráv nebo hlášení ad hoc.
9. Helpdesk a technická podpora
Operátor komunikační infrastruktury musí zajišťovat také službu technické podpory (helpdesk), která bude spolupracovat s orgánem pověřeným operačním řízením centrálního SIS II.
10. Komunikace s jinými systémy
Komunikační infrastruktura musí být zabezpečena proti úniku dat z vyhrazených komunikačních kanálů. Z technického hlediska to znamená, že:
|
— |
musí být zcela vyloučen jakýkoli neoprávněný, resp. nekontrolovaný přístup do jiných sítí, včetně internetu, |
|
— |
nesmí dojít k úniku dat do jiných systémů na síti, tj. např. není připuštěna propojitelnost s jinými IP VPN. |
Vedle uvedených technických omezení se toto zabezpečení týká i služby helpdesk komunikační infrastruktury. Helpdesk nesmí poskytnout žádné informace o centrálním SIS II jinému subjektu, než orgánu, který je pověřen operačním řízením centrálního SIS II.