Právní aspekty bezpečnosti informačních systémů

 

Vladimír Šmíd

 

 

Abstrakt

Problematika natolik složitá a do různých společenských sfér zasahujících, jakou bezpečnost informačních systémů bezesporu je, nezbytně potřebuje závazná regulační pravidla. Tento příspěvek je pokusem o stručný přehled a zatřídění takových pravidel v rámci České republiky.

 

Klíčová slova: informační systém, bezpečnost, právní normy

 

Úvod

Problematika bezpečnosti informačního systému je velmi složitá již z povahy věci samé. Dokonce samu definici pojmu můžeme chápat v různé šíři. Proto pro potřeby tohoto textu použijeme formulaci ve smyslu „systému opatření k zajištění důvěrnosti, integrity a dostupnosti informací, s nimiž informační systém nakládá, a odpovědnost správy a uživatele systému za jejich činnost v informačním systému“.

Svým způsobem nikoliv průhledné je i samotné právní nahlížení na ni z pohledu aplikace potenciálního regulátoru v podobě právní normy, která má splňovat podstatné pojmové znaky jako jsou tzv. zvláštní forma, obecná závaznost a možnost státního vynucení chování podle dané normy. Po relativně krátkém pátrání by pak zřejmě osoba hledající tyto závazné regulativy zjistila, že obecná a vždy důsledně aplikovatelná právní norma neexistuje. Místo toho existuje:

·        na straně jedné několik zákonů s různým stupněm omezení své věcné či osobní působnosti (byť obsahující některá kogentní pravidla chování rozvedená do větších či menších detailů podrobnějšími podzákonnými předpisy)

·        na straně druhé větší počet (technických) norem, které jsou vlastně de iure nezávazné a pouze v izolovaných případech se na ně odkazují výše zmiňované normy právní.

 

1.      Právní normy

Pro naše potřeby můžeme konstatovat, že problematika bezpečnosti informačních systémů je upravena celkem pěti fakticky existujícími a účinnými právními předpisy o síle zákona. V pořadí dle času publikace těchto norem ve sbírce zákonů (nikoliv podle rozsahu, „důležitosti“ a ani reálného času, kdy do nich bylo relevantní ustanovení vloženo) se jedná o:

 

 

 

1.1.           Zákon č. 563/1991 Sb., o účetnictví.

Osobní působnost tohoto zákona je téměř absolutní, když se vztahuje na veškeré subjekty vedoucí účetnictví v širokém spektru od právnických osob se sídlem na území ČR, přes zahraniční osoby podnikající v ČR, organizační složky státu až po fyzické osoby, které z jakéhokoliv důvodu účetnictví vedou.

Na druhou stranu z věcného hlediska je dotčené ustanovení, které do zákona doplnila až jeho novela č. 353/2001 Sb., poměrně triviální a zasahuje velmi speciální případ, když se zde v § 34 tvrdí, že „přenos účetního záznamu může být uskutečněn pouze prostřednictvím informačního systému nebo jiným způsobem, který splňuje požadavky průkaznosti a dále požadavky ochrany a bezpečnosti odpovídající charakteru přenášených informací podle zvláštních právních předpisů“. Těmi zvláštními předpisy se pak podle následující poznámky rozumí například § 17 až 20 obchodního zákoníku, § 38 a 39 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 29/2000 Sb., o poštovních službách a o změně některých zákonů (zákon o poštovních službách), zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů, zákon č. 101/2000 Sb., ve znění pozdějších předpisů, zákon č. 148/1998 Sb., ve znění pozdějších předpisů, vyhláška č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Ovšem i zde je na první pohled patrné, že ne všechny vyjmenované zákony se mohou všech subjektů vedoucích účetnictví s ohledem na jejich charakter týkat.

 

1.2.           Zákon č. 101/2000 Sb., o ochraně osobních údajů.

Rovněž osobní působnost tohoto zákona je velmi rozsáhlá, když zahrnuje státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. Z věcného hlediska se ovšem zákon vztahuje pouze na zpracovávání osobních údajů. V našem případě tedy na informační systémy, které osobní data obsahují a téměř jakkoliv s nimi nakládají.

Z věcného hlediska jsou povinnosti stanovené v souvislosti s bezpečností informačních systémů opět nastaveny poměrně obecně a jednoduše, když v § 13 se správci či zpracovateli osobních údajů ukládá přijmout taková opatření, aby „nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů“. Pro tento účel je správce nebo zpracovatel povinen „zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy“. Nutno podotknout, že oním „zákonem“ se myslí tento zákon sám, který do velkých podrobností v daném smyslu již dále nejde. Poněkud ambivalentní následující odkaz na jiné právní předpisy může být ve své obecnosti jak výhodou, tak nevýhodou, protože na jednu stranu legalizuje jakékoliv relevantní metody, ale na druhou stranu  tímto způsobem lze velmi obtížně adresáty uvedené povinností nutit k širokému pátrání po eventuelně existujících pravidlech, přičemž je navíc dost pravděpodobné, že výsledkem takového hledání mohou být i pravidla si vzájemně protiřečící.

 

1.3.           Zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon).

Osobní působnost tohoto zákona je na rozdíl od předchozích v podstatě minimální, protože se vztahuje pouze na právnické osoby s majetkovou účastí státu a uznaných chovatelských sdružení, která je Ministerstvem zemědělství ČR pověřena shromažďováním a zpracováváním údajů v informačním systému ústřední evidence založené pro účely stanovené tímto zákonem a prováděním s tím souvisejících odborných činností.

Tento zákon opět poměrně triviálně a bez dalších podrobností v § 23c odst. 2 písm. j) stanoví, že výše uvedená pověřená právnická osoba je povinna mimo jiné „zajišťovat ochranu a bezpečnost údajů uložených v informačním systému ústřední evidence před jejich poškozením, zneužitím nebo ztrátou“.

 

1.4.           Zákon č. 365/2000 Sb., o informačních systémech veřejné správy.

Tento zákon se vztahuje na soubor informačních systémů, které slouží pro výkon veřejné správy. Rozsah jeho působnosti je proto omezen na ministerstva, jiné správní úřady a územní samosprávné celky (tj. orgány veřejné správy). Naopak se ovšem nevztahuje na specifické kategorie informačních systémů veřejné správy jako jsou informační systémy vedené zpravodajskými službami, Policií České republiky při plnění jejích úkolů, orgány činnými v trestním řízení v souvislosti s trestním řízením, s výjimkou evidence Rejstříku trestů, Policií České republiky a Vězeňskou službou České republiky při poskytování zvláštní ochrany a pomoci ohroženým osobám, Ministerstvem financí v rámci činnosti podle zvláštního právního předpisu o boji proti legalizaci výnosů z trestné činnosti nebo zvláštního právního předpisu o provádění mezinárodních sankcí za účelem udržování mezinárodního míru a bezpečnosti, ochrany základních lidských práv a boje proti terorismu, Národním bezpečnostním úřadem, zpravodajskou službou nebo Ministerstvem vnitra při provádění bezpečnostního řízení a vedení evidencí podle zvláštního zákona, v působnosti Ministerstva obrany, při činnostech vykonávaných podle zvláštních právních předpisů, Ministerstvem vnitra, Ministerstvem financí a Ministerstvem spravedlnosti při zpracování osobních údajů příslušníků bezpečnostních sborů podle zvláštního právního předpisu, správními úřady a orgány územních samosprávných celků v přenesené působnosti při činnostech souvisejících se zajišťováním obrany státu, nebo orgány veřejné správy a právnickými osobami, pokud jsou používány výlučně k podpoře krizového řízení.

Z věcného hlediska se ovšem jedná o komplexní normu, která kromě velmi potřebných definic základních pojmů v oblasti informačních systémů, nastavení práv a povinností jejich správců, definování kompetencí jednotlivých orgánů veřejné správy, konstrukce systému akreditací informačních systémů apod. obsahuje dva v daném smyslu zcela zásadní paragrafy:

 

§ 5a

Dlouhodobé řízení informačních systémů veřejné správy

 

(1) Orgány veřejné správy vytvářejí a vydávají informační koncepci, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. Obsah a strukturu informační koncepce, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy stanoví prováděcí právní předpis.

(2) Na základě vydané informační koncepce orgány veřejné správy vytvářejí a vydávají provozní dokumentaci k jednotlivým informačním systémům veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. Obsah a strukturu provozní dokumentace stanoví prováděcí právní předpis.

(3) Orgány veřejné správy si zajistí atestaci dlouhodobého řízení informačních systémů veřejné správy a prokáží splnění povinností podle odstavců 1 a 2 atestem dlouhodobého řízení informačních systémů veřejné správy. Rozsah provozní dokumentace předkládané při atestaci stanoví prováděcí právní předpis. Povinnost podle věty první se nevztahuje na obce, které vykonávají přenesenou působnost pouze v základním rozsahu.

 

§ 5b

Bezpečnost informačních systémů veřejné správy

 

(1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací.

(2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.

 

Na zákon navazují v něm odkazované podzákonné předpisy v podobě vyhlášek ministerstva informatiky ČR, a to mimo jiné:

·      č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích (vyhláška o informačním systému o datových prvcích),

·      č. 528/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o informačních systémech veřejné správy),

·      č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy) a

·      č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy.

 

1.5.           Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti.

V případě posledního z vybraných zákonů se jedná opět o specifickou normu, která  upravuje zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k nim a další požadavky na jejich ochranu, zásady pro stanovení citlivých činností a podmínky pro jejich výkon a s tím spojený výkon státní správy. Teoreticky má vlastně neomezenou osobní působnost. Nicméně z větší části jsou zde práva a povinnosti vymezovány negativně v tom smyslu, které subjekty nejsou oprávněny se účastnit relevantních činností (resp. jaké podmínky musí splnit, aby k uskutečňování těchto činností mohly být pověřovány), a teprve pro zbývající vybranou skupinu jsou stanovena velmi detailní pravidla chování při jejich realizaci.

Kromě jiného tak zákon obsahuje speciální hlavu s názvem Bezpečnost informačních a komunikačních systémů. Zde pak:

·      definuje pojem informačního systému pro daný účel,

·      stanoví povinnost certifikace informačních systémů Národním bezpečnostním úřadem,

·      zavazuje ke zpracování bezpečnostní dokumentace informačního systému,

·      definuje pojem komunikačního systému, včetně jeho projektu bezpečnosti, bezpečnostní politiky apod.

·      a v neposlední řadě řeší problematiku kryptografické ochrany.

 

Na zákon obdobně navazují v něm odkazované podzákonné předpisy v podobě vyhlášek Národního bezpečnostního úřadu, a to mimo jiné:

·      č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor,

·      č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací,

·      č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných skutečností,

·      č. 526/2005 Sb., o stanovení vzorů používaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náležitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a o způsobu podání žádosti podnikatele (vyhláška o průmyslové bezpečnosti),

·      č. 527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k žádosti o vydání osvědčení fyzické osoby a k žádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto žádostí (vyhláška o personální bezpečnosti),

·      č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků,

·      č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací.

 

2.      Technické normy

Pouze českých technických norem (ČSN) vztahujících se úzce k problematice bezpečnosti informačních systémů lze k dnešnímu dni napočítat podstatě více než padesát. Jak již bylo uvedeno výše, jejich závaznost je s ohledem na postavení vydávajícího úřadu podstatně slabší. Pouze některé z nich zmiňované obecně závaznými právními předpisy tak odvozeně získávají jejich právní sílu a tedy i závaznost. Jedná se tak např. o:

·      ČSN ISO/IEC 13335-1 až 4 Informační technologie - Směrnice pro řízení bezpečnosti IT

·      ČSN ISO/IEC 15288 Systémové inženýrství - Procesy životního cyklu systému.

·      ČSN ISO/IEC 15408-1 až 4 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT

·      ČSN ISO/IEC 17799 Informační technologie - Soubor postupů pro řízení informační bezpečnosti.

 

Závěr

Z výše uvedeného je patrné, že český stát je ještě poněkud vzdálen od ideálního stavu, kdy by problematika bezpečnosti informačních systémů byla nekompromisně regulována. Diskuse na téma, zda je to vůbec reálné či zda je to zapotřebí, pravděpodobně přesahuje rozsah tohoto textu.

 

RNDr. JUDr. Vladimír Šmíd, CSc., Masarykova univerzita, Žerotínovo nám. 9, 601 77 Brno, ČR, E-mail: smid@rect.muni.cz