Bezpečnost informačních systémů veřejné správy

Bezpečnost informačních systémů veřejné správy Vladimír Smejkal soudní znalec v Praze, Fakulta podnikatelská VUT v Brně, www.znalci.cz Pojem „bezpečnost“ je jedním z dnes nejčastěji užívaných termínů v teorii i praxi informačních a telekomunikačních systémů. Právnickým jazykem by se dalo říci, že se s tímto pojmem pracuje jako s tzv. notorietou, neboli něčím, co je všeobecně známo, pod čím si každý představí vždy totéž a co není třeba zjišťovat a dokazovat. Je tomu ale skutečně tak? Chápou všichni tvůrci, provozovatelé a uživatelé informačních systémů bezpečnost stejně? Domníváme se, že nikoliv. Přitom právě pro oblast informačních systémů veřejné správy (dále také jen ISVS) je bezpečnost jedním z hlavních předpokladů a požadavků.

1.

Definování bezpečnosti ISVS

Současný stav (července 2006) nevymezuje ani co to bezpečnost ISVS je, ani jaké jsou její atributy. Musíme proto spíše inspirativně, nežli analogicky hledat inspiraci např. v oblasti utajovaných informací (nebo si počkat do 1.1.2007, neboť zákon o informačních systémech veřejné správy s účinností od 1.1.2007v ust. § 3 odst. 8 uvádí, že „Provozovatel je povinen při provozování informačního systému [ § 2 písm. d)] zajišťovat ochranu a bezpečnost informací v rámci provozovaného informačního systému.“ Tak např. zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve svém § 5 písm. e) říká, že „bezpečnost informačních nebo komunikačních systémů tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému“. Bezpečnost ISVS můžeme chápat jako: a) cíl, kterého je třeba dosáhnout (ideální stav); b) nástroj k dosažení cíle uvedeného ad a). Pokud budeme chápat bezpečnost jako cíl, musíme mít k dispozici nějakou metriku, kritérium, které nám řekne, od kterého okamžiku je ISVS bezpečný, resp. jaká je úroveň zabezpečení daného ISVS. (Proto někteří autoři dávají přednost pojmu „zabezpečený“ a mluví o třídách zabezpečení systému.) Takovou metrikou je zpravidla nějaká norma či standard, která říká obvykle věty typu „Je-li vybaven ITS tímto a tímto, jedná se o bezpečný systém kategorie (třídy) XYZ.“ nebo jinak „Chcete-li zabezpečit systém tak, aby splňoval požadavky na bezpečnost stanovené úrovně ( a použít pro následné ověření příslušná kritéria pro hodnocení bezpečnosti ITS), musíte udělat toto a toto.“ Příkladem jedné z nejčastějších definic je tato: Bezpečnost informací je charakterizována jako zachování: a) důvěrnosti – zajištění toho,,aby informace byla dostupná pouze osobám oprávněným pro přístup, b) integrity – zabezpečení správnosti a kompletnosti informací a metod zpracování, 102 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

c)

dostupnosti – zajištění toho,,aby informace a s nimi spjatá aktiva byly přístupné autorizovaným uživatelům podle jejich potřeby. Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat v podobě pravidel, natrénovaných postupů, procedur, organizační struktury a programových funkcí. Případně může to být požadavek typu: „Zabezpečený ITS vyžaduje, aby se uživatelé sami identifikovali před zahájením provádění jakékoliv činnosti, která je ITS zprostředkovávána. ITS by měla používat chráněný mechanismus k ověření totožnosti uživatele a chránit autentizační údaje, aby nebyly přístupny neoprávněnému uživateli.“ (Požadavek pro třídu zabezpečení C1).1 Zákon o informačních systémech veřejné správy ve znění účinném od 1.1.2007 se zabývá bezpečností více. Podle ust. § 5b – Bezpečnost informačních systémů veřejné správy platí: (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům. Podle § 12 písm. g) Ministerstvo informatiky stanoví vyhláškou rozsah zajišťování bezpečnosti informačních systémů veřejné správy a oblasti minimálních bezpečnostních požadavků k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací, podle § 5b odst. 1. Otázkou je, jakým způsobem bude tato vyhláška koncipována, neboť pouhé se odvolávání na zahraniční, v České republice a v českém jazyce nezveřejněné normativní texty nemohou být dle našeho názoru platnou součástí právního řádu. Příkladem legislativně konformním je zpracování bezpečnostních požadavků v souvislosti se zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, a to vyhláškou Úřadu pro ochranu osobních údajů č. 366/2001 Sb., o upřesnění podmínek stanovených v § 6 a17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu. Zde se uvádí v § 4 odst. 1, že používaný informační systém pro certifikační služby se považuje za bezpečný, pokud u dat, která zpracovává, je zajištěna důvěrnost, integrita, dostupnost a prokazatelnost jejich původu a pokud odpovídá požadavkům technické normy upravující oblast informační bezpečnosti, přičemž odkaz pod čarou 1) uvádí ČSN ISO/IEC 15408 Informační technologie Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti informačních technologií, bezpečnostní profil odpovídající úrovni zaručitelnosti bezpečnosti 4. Dále pak v odst. 4 říká, že prostory, kde dochází k činnosti… musí být zabezpečeny obdobně jako objekty kategorie „D“ podle zvláštního právního předpisu. Tímto předpisem je dle poznámky pod čarou 2) vyhláška č. 339/1999 Sb., o objektové bezpečnosti. Kontrola bezpečnosti je rovněž definována v tomto předpisu, a to tak, že podle § 6 – Ověření bezpečnosti používání informačního systému pro certifikační služby a zajištění dostatečné bezpečnosti postupů, které tento systém podporují – požadavek na bezpečnost používání informačního systému pro certifikační služby a zajištění dostatečné bezpečnosti postupů, které tento systém podporují, se považuje za splněný, pokud je doložen mj.

1

TCSEC – Kritéria hodnocení bezpečnosti počítačových systémů. BEN : Praha 1994. 103 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

a) dokumenty uvedenými v § 2 odst. 1 písm. a) až e) [certifikační politikou, certifikační prováděcí směrnicí, celkovou bezpečnostní politikou, systémovou bezpečnostní politikou, plánem pro zvládání krizových situací a plánem obnovy – obsah těchto dokumentů je rovněž vymezen v § 2 vyhlášky], b) výsledkem hodnocení, podle něhož jsou splněny požadavky technické normy upravující oblast informační bezpečnosti [viz výše citovaná pozn. pod čarou 1)], a c) písemným posudkem, jehož součástí je potvrzení, že podle kontroly bezpečnostní shody, která byla provedena podle technické normy upravující oblast informační bezpečnosti,3) je používání informačního systému pro certifikační služby v souladu se způsoby zajištění bezpečnosti stanovenými v dokumentech uvedených v § 2 odst. 1 písm. c) a d). Kontrola bezpečnostní shody musí být prováděna opakovaně, a to vždy nejpozději do 12 měsíců od provedení poslední kontroly bezpečnostní shody. Odkaz pod čarou 3) pak uvádí další technické normy, a to ČSN ISO/IEC TR 13335 Informační technologie - Směrnice pro řízení bezpečnosti IT 1 - 3. Poněkud odstrašujícím příkladem je naopak Vyhláška Ministerstva informatiky č. 496/2004 Sb., o elektronických podatelnách ze dne 1.1.2005. Zde v příloze k této vyhlášce najdeme odkazy na tzv. normativní dokumenty, kterými jsou výlučně zahraniční cizojazyčné dokumenty, u nás nepublikované.

2.

Ověřování bezpečnosti

Specifikování požadavků by ovšem nemělo význam, pokud by neexistoval způsob, jak ověřit jejich realizaci. Pro tento účel existují různé způsoby prověřování, např. certifikace podle § 46 zákona o ochraně utajovaných informací, podle kterého „Certifikace je postup, jímž Úřad a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací, b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi, c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací, d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 6, nebo e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.“ V oblasti informačních systémů veřejné správy zákon o informačních systémech veřejné správy, nazývá toto ověřování shody s požadavky zákona o ISVS a prováděcích právních předpisů k tomuto zákonu atestacemi.2 Vidíme tedy, že chceme-li budovat bezpečný ISVS, musíme určitým způsobem (doporučením odborníků, celkovou bezpečnostní politikou, požadavky právních předpisů a v nich uvedených norem technických) „nastavit“ úroveň bezpečnosti, kterou chceme dosáhnout a tuto úroveň vhodným způsobem, nejlépe odkazem na všeobecně známou a přijímanou normu, definovat.

2

Atestacemi informačních systémů, produktů nebo připojení k referenčnímu rozhraní se rozumí stanovení jejich způsobilosti pro použití v informačních systémech veřejné správy na základě shody se stanovenými standardy, technickými normami, požadovaným stupněm bezpečnosti nebo na základě dosažení vyšší úrovně technických a užitných vlastností, než požadují standardy a technické normy. 104 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

Je třeba zdůraznit, že úroveň bezpečnosti se správně stanovuje „komplexně“ tedy např. v rovinách administrativní, komunikační, fyzické a personální bezpečnosti, jak je např. stanoveno v zákoně o ochraně utajovaných informací a jak by na základě analýzy rizik a návrhu bezpečnostní politiky mělo být stanoveno i pro jakýkoliv informační systém veřejné správy a v jakékoliv jiné organizaci, která chce chránit svá data.

3.

Technické předpisy

Podle § 3 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, se technickým předpisem rozumí právní předpis, vyhlášený uveřejněním jeho plného znění ve Sbírce zákonů, obsahující technické požadavky na výrobky, popřípadě pravidla pro služby nebo upravující povinnosti při uvádění výrobku na trh, při jeho používání nebo při poskytování nebo zřizování služby nebo zakazující výrobu, dovoz, prodej či používání určitého výrobku nebo používání, poskytování nebo zřizování služby. Podle § 4 existuje „česká technická norma“, což je dokument schválený pověřenou právnickou osobou (§ 5) pro opakované nebo stálé použití, vytvořený podle tohoto zákona a označený „ČSN“, jehož vydání bylo oznámeno ve Věstníku Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví. Česká technická norma poskytuje pro obecné a opakované používání pravidla, směrnice nebo charakteristiky činností nebo jejich výsledků zaměřené na dosažení optimálního stupně uspořádání ve vymezených souvislostech. Česká technická norma není obecně závazná. Zákon zavedl ještě nový pojem, a to „harmonizované české technické normy“, jehož obsah je převzat z práva Evropských společenství. Jde o nové vyjádření úlohy “národních technických norem" při regulaci vlastností výrobků. Řešení vyplývá z “Nového přístupu k technické harmonizaci a normám", který byl v rámci Evropských společenství formulován v roce 1985. Jeho podstatou je to, že právní regulace týkající se výrobků se omezí na naléhavé potřeby ochrany života a zdraví osob, majetku, životního prostředí apod. Přitom se vychází z toho, že je účelné technické požadavky na výrobky stanovovat relativně obecně tak, aby jednoznačné konkrétní požadavky právních předpisů nevytvářely bariéry technického rozvoje. Prakticky uplatnění tohoto přístupu vypadá tak, že tam, kde je to možné a účelné, je technický požadavek na výrobek v právním předpisu formulován relativně obecně tak, že je ho možno splnit různými způsoby. K technickým právním předpisům jsou pak v rámci ES vydávány harmonizované evropské normy. Při jejich splnění se má za to, že výrobek odpovídá příslušným obecným ustanovením technického předpisu. Dodržení takových harmonizovaných evropských norem proto nemůže být povinné. Jde vlastně o nabídku technického řešení, která nemusí být využita, případnou odpovědnost za škody vzniklé řešením, které je odchylné od harmonizované normy ovšem nese ten, kdo nesplnil požadavky obecně formulovaného technického předpisu. Obdobný právní význam nyní mají harmonizované ČSN. Předně je nutno zdůraznit, že výraz „harmonizovaná ČSN“ vyjadřuje především vztah k technickému předpisu, tj. k nařízení vlády vydanému na základě zákona. I když ve většině případů harmonizované ČSN budou z hlediska obsahového přejímat bez jakýchkoliv změn obsah evropských norem, slovo “harmonizace" se bude vztahovat vždy k technickému předpisu, tj. především k nařízení vlády vydanému podle zákona. 105 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

Zákon se nedotýká takových právních předpisů, kterými je stanovena právní povinnost dodržovat některé ČSN. V těchto případech sice ČSN není závazná a její nedodržení není v rozporu se zákonem, jde však o nedodržení toho právního předpisu, který povinnost dodržení ČSN stanovil.3 Pokud se týká přímých odkazů na zahraniční normy, které jsou v některých legislativních návrzích či vydaných předpisech používány,4 je třeba konstatovat, že zahraniční norma není vůbec součástí českého právního řádu a tedy její užívání by bylo nevynutitelné, ale – v případě její nedostupnosti v českém jazyce - i nevhodné. Existují dvě možnosti, jak postupovat: 1. zařadit tyto normy do soustavy norem ČSN; 2. vydat je v rámci určité podzákonné normy, tj. vyhlášky nebo nařízení vlády, čímž se stane norma závaznou. Bohužel, v případě normy ČSN/ISO IEC 17799 byl postup ad 1. použit zcela nevhodným způsobem. Na konci roku 2001 se uskutečnilo začlenění mezinárodní normy ISO/IEC 17799 do českého právního řádu, a to jako technický předpis – norma vydaná Českým normalizačním institutem (ČSNI). Bohužel místo toho, aby byl zařazen do normy ČSN ISO/IEC 17799 její úplný překlad, zvolil ČSNI divnou formu publikace – něco jako „ideový úvod“ (1,5 strany!) doplněný odkazem na anglický text normy. V takovém případě samozřejmě nelze hovořit o zpřístupnění normy jejím příjemcům.

4.

Normy pro bezpečnost IS

Normy a standardy pro bezpečnost IS jsou v civilní sféře vytvářeny, vydávány, aktualizovány a opuštěny ve prospěch novějších již od sedmdesátých let. Jejich rozdělení je možné provést např. v souvislosti s jejich posláním a náplní: 1. základní bezpečnostní normy pro obecné použití – bezpečnostní architektury; 2. funkční normy – popisují jak se realizují požadavky vyplývající z obecných norem; 3. hodnotící normy – pro hodnocení bezpečnosti (IS, produktů, postupů apod.), např. ITSEC, ITSEM, TCSEC; 4. speciální normy – pro určitou činnost (telekomunikace) nebo pro určité odvětví, obor, uživatele (armádu, finanční instituce, zpracování osobních údajů apod.). V oblasti hodnocení bezpečnosti IS jsou v současné době k dispozici normy ČSN ISO/IEC TR 13335-1 až ČSN ISO/IEC TR 13335-5,5 které zřejmě nejsou příliš 3

Takovým předpisem je obvykle nařízení vlády (např. Nařízení vlády, kterým se stanoví technické požadavky na výtahy) nebo vyhláška (např. Vyhláška Státního úřadu pro jadernou bezpečnost o radiační ochraně), výjimečně i zákon (např. Zákon o některých opatřeních souvisejících se zákazem bakteriologických (biologických) a toxinových zbraní a o změně živnostenského zákona). 4

Například Směrnice pro bezpečnost informačních systémů OECD/GD(92)190, Organizace pro hospodářskou spolupráci a rozvoj : Paříž 1992; ISO 7498-2: ISO/OSI Security Architecture; ISO/TR 13569: Bankovnictví a souvisící finanční služby. Směrnice pro informační bezpečnost 1997 a 1998; ISO/IEC PDTR 15446:2000: Information technology – Security techniques. Guide for the production of protection profiles and security targets nebo různé dokumenty EESSI, ETSI, RTF apod. 5

ČSN ISO/IEC TR 13335-1:1999 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 1: Pojetí a modely bezpečnosti IT. ČSN ISO/IEC TR 13335106 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

dobrou inspirací pro budování zabezpečeného systému, a norma ČSN ISO/IEC 15408 (Common Criteria).6 Norma ČSN ISO/IEC 15408 je výsledkem mnohaleté práci v oblasti standardizace bezpečnosti informačních technologií a poskytuje jednotnou metriku pro hodnocení bezpečnosti informačních systémů. Lze říci, že tato norma se stává harmonizačním dokumentem pro porovnání výsledků hodnocení jednotlivých informačních systémů v celosvětovém měřítku. Samotná norma je tvořena třemi základními dokumenty, ve kterých jsou definovány: • globální koncepce a principy hodnocení ITS • souhrn požadavků stanovených pro bezpečnostní funkce • souhrn požadavků stanovených pro bezpečnostní záruky Na tuto normu má navazovat celá skupina norem, které stanoví postupy a principy hodnocení u konkrétních IS. V roce 2005 uveřejnila mezinárodní organizace pro normalizaci ISO aktualizovanou verzi normy ISO/IEC 17799:2005 – Code of practice for information security management. Rovněž oznámila zavedení nové řady norem v oblasti bezpečnosti informací pod označením ISO/IEC 27000. Cílem této řady norem označených ISO/IEC 27000 je sjednotit požadavky, návody a doporučení na systémy řízení informační bezpečnosti, které se vyskytují v různých normách. Základní, sjednocující normou je ISO/IEC 27001:2005. Obsahově se nová norma v samotném hlavním textu normy příliš neliší. Změny doznala příloha A ISO/IEC 27001, která je upravena v souladu s ISO/IEC 17799:2005. Příloha A je upravena logicky tak, aby sdružovala požadavky, které se vyskytovaly na různých místech do jednoho celku. V aktualizaci přílohy A ISO/IEC 27001:2005 bylo odstraněno devět bezpečnostních opatření a sedmnáct nových bylo doplněno. Celkem byl zvýšen počet opatření ze 128 na 133. Norma ISO/IEC 27001 má být zavedena do soustavy ČSN v druhé polovině roku 2006. Nová série ISO 27000 vychází z konceptu, který je naznačen na obrázku níže. Podobně jako u jiných systémů managementu (např. ISO 9000 či ISO 14000) je za jádro normalizace považována definice systému. V případě systémů managementu bezpečnosti informací (ISMS) se tudíž stal hlavním prvkem britský standard BS 7799-2, který vytváří základ také pro novou mezinárodní normu ISO/IEC 27001. Přehled základních norem řady ISO/IEC 27000, které jsou postupně vydávány, je následující: • ISO/IEC 27000 Slovník a definice v oblasti ISMS je terminologickou normou pro tuto řadu norem.

2:2000 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 2: Řízení a plánování bezpečnosti IT. ČSN ISO/IEC TR 13335-3:2000 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 3: Techniky pro řízení bezpečnosti IT. ČSN ISO/IEC TR 13335-4:2002 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 4: Výběr ochranných opatření. 6

ČSN ISO/IEC 15408-1:2001 Informační technologie – Kritéria pro hodnocení bezpečnosti IT – Část 1: Úvod a všeobecný model. ČSN ISO/IEC 15408-2:2002 Informační technologie – Kritéria pro hodnocení bezpečnosti IT – Část 2: Bezpečnostní funkční požadavky. ČSN ISO/IEC 15408-3:2002 Informační technologie – Kritéria pro hodnocení bezpečnosti IT – Část 3: Požadavky na zaručitelnost bezpečnosti. 107 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

•

• • •

• •

5.

ISO/IEC 27001:2005 Požadavky na systémy managementu bezpečnosti informací. V současné době je známa pod označením jako BS 7799-2. Podle této normy se postupuje při certifikacích ISMS. ISO/IEC 27001 byla vydána v říjnu 2005. ISO/IEC 27002 popisuje sadu bezpečnostních opatření, které musí organizace provést při implementaci ISMS. V současné době je označena ISO/IEC 17799. Aktualizovaná verze byla vydána v červenci 2005. ISO/IEC 27003 poskytuje návod k implementaci ISMS. ISO/IEC 27004 (Information security management metrics and measurements) popisuje management měření a metrik v ISMS. Poskytuje návod, jak uplatňovat metody měření, vhodné ukazatele (metriky) při implementaci ISMS a poskytuje návod, jakým způsobem je zvolit. ISO/IEC 27005 (Information Security Risk) připravovaná norma, která bude popisovat požadavky a principy managementu rizik v ISMS. Pravděpodobně bude vycházet z právě vydané britské normy BS 7799-3:2005. ISO/IEC 27006 (Guidelines for information and communications technology disaster recovery services) připravovaná norma, která bude popisovat metody a požadavky na služby havarijní obnovy.7

Národní strategie informační bezpečnosti ČR

Národní strategie informační bezpečnosti ČR8 (dále také jen NSIB ČR) si klade za cíl zvýšit důvěru občanů a subjektů komerční i nekomerční sféry v informační společnost, zlepšit celkové řízení informační bezpečnosti, rozvíjet znalosti o informační bezpečnosti, zlepšit mezinárodní spolupráci, shromáždit a doporučit nejlepší praxi pro oblast řízení informační bezpečnosti, zajistit základní lidská práva při používání informačních a komunikačních technologií a podporovat konkurenceschopnost české ekonomiky. Strategie formuluje snahy vlády ČR zavést cíle a směr informační bezpečnosti do praxe. Strategie vytváří společnou platformu pro zabezpečení informací veřejné správy, subjektů komerční i nekomerční sféry a jednotlivých občanů. Vláda schválila Národní strategii informační bezpečnosti usnesením č. 1340 dne 19.10.2005. Strategie formuluje snahy vlády ČR k dosažení strategických cílů v oblasti informační bezpečnosti a vytváří společnou platformu pro zabezpečení informací veřejné správy, subjektů komerční i nekomerční sféry a jednotlivých občanů. Účelem NSIB ČR je ovlivnit zavádění nejlepší praxe a spolupráce všech subjektů společnosti při správě a budování důvěryhodných informačních a komunikačních systémů. Současně stanoví role a zodpovědnosti centrálních orgánů veřejné správy k podpoře ochrany informací. Prioritou je ochrana informačních a komunikačních aktiv před hrozbami, kterým jsou informační a komunikační systémy vystaveny a snížení potenciálních škod v případě útoků na tyto informační a komunikační systémy minimalizací rizik. 7

Podrobnosti viz např. Zapletalová, V., Novák, L.:Nová série bezpečnostních norem ISO 27000. Data Security Management, 2005, č. 4 a http://www.iso27001security.com/html/iso27000.html. Šebesta, V., Štverka, V., Steiner, F., Šebestová, M.: Praktické zkušenosti z implementace systému managementu bezpečnosti informací podle ČSN BS 7799-2:2004 a komentované vydání ISO/IEC 27001:2005. ČSNI, Praha 2006. 8

Národní strategie informační bezpečnosti ČR (NSIB ČR). Verze: 0.8, 4.10.2005. Zdroj: http://www.micr.cz/scripts/detail.php?id=2705. 108 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

NSIB ČR zavádí principy vyjádřené „Směrnicí OECD pro bezpečnost informačních systémů a sítí: směrem ke kultuře bezpečnosti“ a podporuje harmonizaci českých právních předpisů, technických a technologických norem s jejich ekvivalenty v Evropské unii. Jakkoliv není tato strategie právním dokumentem, je významným zdrojem informací především pro orgány a organizace, podílející se jakýmkoliv způsobem na budování a provozu informačních systémů veřejné správy. Tato strategie bude brána v úvahu jako základní dokument při tvorbě politik, směrnic, metodických pokynů, pravidel, zásad, příruček, provozních režimů, plánů, doporučení apod. Prioritní oblasti této strategie jsou: 1. řízení informační bezpečnosti a řízení rizik, 2. znalosti o informační bezpečnosti, 3. národní a mezinárodní spolupráce v oblasti informační bezpečnosti, 4. používání nejlepší praxe v oblasti informační bezpečnosti, 5. ochrana lidských práv a svobod, 6. konkurenceschopnost české ekonomiky. Je vidět, že NSIB ČR se zdaleka nezabývá jen problematikou bezpečnosti informačních systémů, ale obecnými společenskými, politickými a hospodářskými otázkami. Z hlediska vlastní informační bezpečnosti je vhodné zmínit, jakým způsobem je v cit. dokumentu chápána. Podle NSIB ČR je informační bezpečnost komplexní a dynamická součást všech činností společnosti. Informační bezpečnost musí pokrývat všechny její součásti. Součástí informační bezpečnosti je dle NSIB ČR zajištění zejména: 1) Dostupnosti – zajištění toho, aby informace a s nimi spojená aktiva byly přístupné autorizovaným (oprávněným) uživatelům (entitám) podle jejich potřeb v požadovaném čase; 2) Důvěrnosti – zajištění toho, aby informace byly dostupné pouze osobám (entitám, procesům) oprávněným pro přístup k těmto informacím; 3) Integrity – ochrana správnosti (před modifikací - neoprávněnou změnou) a zajištění kompletnosti (úplnosti); 4) Zodpovědnosti – je určena individuální zodpovědnost; 5) Spolehlivosti – zajišťuje konzistenci chování a výsledků. Nejsem si sice zcela jist přesností definic přidaných atributů ad 4) a 5), nicméně jejich zmínění je plně na místě. Problematika tzv. „zodpovědnosti“ je již mnoho let pojímána jako tzv. neodmítnutelnost (za provedení transakce, operace, právního či jiného úkonu, což souvisí s problematikou identifikace a autentizace takto konající osoby). Naproti tomu spolehlivost je důležitou vlastností jakýchkoliv zařízení, informační systémy nevyjímaje. Pro úplnost nicméně uvádíme, že spolehlivost je obvykle definována jako pravděpodobnost, s jakou bude objekt schopen plnit bez poruchy požadované funkce po stanovenou dobu a v daných provozních podmínkách. V podmínkách ISVS je ale vhodnější používat definice jiné, zohledňující i další vlastnosti, např. takto: Obecná schopnost systému plnit požadované funkce po stanovenou dobu a v daných podmínkách, která se vyjadřuje dílčími vlastnostmi jako jsou bezporuchovost, životnost, opravitelnost, pohotovost apod. Konečně třetí definice spolehlivosti podle ČSN IEC 50(191) říká, že spolehlivost je souhrnný termín používaný pro popis pohotovosti a činitelů, které ji ovlivňují: bezporuchovost, udržovatelnost a zajištěnost údržby (používá se pouze pro obecný nekvantitativní popis). Kvantifikovaně ji pak lze hodnotit pomocí konkrétních ukazatelů spolehlivosti, jako jsou – pohotovost 109 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

– –

bezporuchovost udržovatelnost apod.

V oblasti IS se objevily i definice typu „Spolehlivostí se rozumí zamýšlené a výsledné vlastnosti informací“, ale ani zde není zcela zřejmé, co se tím má na mysli. Zřejmě asi jde o zvulgarizovaný výklad pojetí spolehlivosti, jaké např. uvádí M. Novák: „Nejde jenom o to, aby jistý systém splňoval na něj dané požadavky co do jeho výkonů, ale že jde též a zejména o to, aby tyto výkony byl schopen podávat po dostatečně dlouhou dobu (či v dostatečně velkém intervalu jiných nezávisle proměnných), a to bez poruch a bez odchylek od požadovaných hodnot o více než je dovolený limit - to jsou hlavní aspekty spolehlivosti.“9 K NSIB ČR byly vydány dvě přílohy. Příloha č. 1 se zabývá řízením informační bezpečnosti v rámci orgánů státu (Věcně příslušné přidělení aktivit v rámci opatření NSIB ČR, Řízení informační bezpečnosti v orgánech státní správy a samosprávy, Kompetence v informační bezpečnosti v orgánech veřejné správy).10 Příloha č. 2 obsahuje přehled právních předpisů a norem, které se týkají informační bezpečnosti, obecné zásady a doporučení pro řízení informační bezpečnosti, popis procesu zavedení systému řízení informační bezpečnosti, další doporučení, hlavní procesy řízení životního cyklu bezpečnostní dokumentace, typy dokumentace a plány v rámci bezpečnosti IS).11 Doporučení pro řízení informační bezpečnosti vycházejí z norem ČSN ISO/IEC 17799:2005 a ČSN BS 7799-2:2004 a obsahují následující položky: 1) Zavést řízení rizik jako součást řízení informační bezpečnosti 2) Mít bezpečnostní politiku 3) Řídit informační bezpečnost 4) Realizovat řízení aktiv 5) Věnovat dostatečnou pozornost personální bezpečnosti 6) Řešit fyzickou bezpečnost 7) Řídit komunikace a provoz 8) Řídit přístup k systémům 9) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě 10) Řešit bezpečnostní incidenty a nedostatky 11) Řídit správu kontinuity 12) Zajistit soulad se standardy a právními normami. Je vidět, že jde o dokument obecně přehledový, který má charakter jakéhosi základního souboru Best Practices – doporučené (nejlepší) praxe.

6.

Právní ochrana informačních systémů veřejné správy

Právní ochranu informačních systémů lze vymezit dvěma různými, nicméně neopominutelnými a na sebe úzce navazujícími oblastmi: jako ochranu z hlediska veřejnoprávního a z hlediska soukromoprávního.12 9

Novák, M.: Obecná hlediska spolehlivosti a bezpečnosti technických systémů. Výzkumná zpráva č. LSS 100/2001. Fakulta dopravní ČVUT Praha a Ústav informatiky AV ČR, Praha, červen 2001. 10

http://www.micr.cz/files/2705/05_NSIB_CR_Priloha_1_v0_8__2_.pdf

11

http://www.micr.cz/files/2705/06_NSIB_CR_Priloha_2_v0_8__2_.pdf

12

Smejkal, V., Rais, K.: Řízení rizik. 2. vydání. GRADA, Praha 2006. 110

SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

Veřejnoprávní ochrana je dána souborem právních norem, jakož i norem speciálních, které upravují specifika týkající se dané skupiny subjektů (či specifických objektů). Jsou to zákony upravující podnikání, zacházení s osobními údaji, ale i ochranu spotřebitele, ochranu životního prostředí; především je to však trestní zákon, případně přestupkový zákon, zákon o elektronických komunikacích, o informačních systémech veřejné správy apod. Veřejnoprávní ochrana je uskutečňována jednak prostřednictvím orgánu státní moci, jimž je zákonem dána represivní možnost vůči porušitelům práv – typicky tedy prostřednictvím orgánů činných v trestním řízení, nebo pomocí soudní moci, a to i jako dovolávání se porušení pokojného stavu nebo porušení (nedodržení) smlouvou či jinak založeného soukromoprávního vztahu. Subjektu soukromého práva přísluší právo na odpovídající soudní řízení před příslušným soudem, nevzniká mu však nárok na „jemu příznivé rozhodnutí“ ve smyslu nároku na právní ochranu. V uvedeném smyslu Úmluva o ochraně lidských práv a základních svobod z roku 1950 stanoví mimo jiné v článku 6, nadepsaném „Právo na spravedlivé soudní řízení“, že každý má právo na to, aby jeho záležitost byla spravedlivě, veřejně a v přiměřené lhůtě projednána nezávislým a nestranným soudem, zřízeným zákonem, který rozhodne o jeho občanskoprávních nárocích nebo závazcích.13 Dále existují případy, kdy soukromoprávní spory, typicky v oblasti elektronických komunikací, rozhodují správní orgány, přičemž situace z hlediska soudního přezkumu je značně složitá. Podle § 127 zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů, předseda Rady Českého telekomunikačního úřadu (ČTÚ) rozhoduje spory mezi osobami vykonávajícími komunikační činnosti na základě návrhu kterékoliv ze stran sporu, pokud se spor týká povinností uložených tímto zákonem nebo na jeho základě. Podle § 128 odst. 1 je ale ČTÚ oprávněn odmítnout rozhodnout spor podle § 127, pokud na základě ústního jednání za účasti všech stran sporu dojde k závěru, že jiné způsoby řešení by lépe přispěly k včasnému vyřešení sporu. Následně podle § 129 ČTÚ rozhoduje spory mezi osobou vykonávající komunikační činnost na straně jedné, a účastníkem, popřípadě uživatelem na straně druhé, a to na základě návrhu kterékoliv ze stran sporu, pokud se spor týká povinností uložených tímto zákonem nebo na jeho základě. Přesto, že zde rozhoduje správní orgán, nejedná se o rozhodnutí ve veřejnoprávní věci, a tedy případný soudní přezkum takového rozhodnutí, byť učiněného správním orgánem, nepodléhá režimu podle soudního řádu správního, ale podle občanského soudního řádu. Proto stanoví § 46 odst. 2 SŘS, že správní soud odmítne návrh, dospěje-li k závěru, že žaloba, která u něj napadla, se domáhá přezkoumání rozhodnutí správního orgánu v soukromoprávní věci. V takovém případě poučí navrhovatele, že může do jednoho měsíce podat žalobu podle páté části občanského soudního řádu. Ustanovení zrcadlového charakteru pro civilní proces je obsaženo ve speciálním § 104b odst. 1 OSŘ. Aby se zabránilo opakovanému odmítání či zastavování řízení, obsahují oba procesní předpisy technologickou „zpětnou klapku“ v § 104b odst. 3 a § 104c OSŘ, resp. v § 46 odst. 3 a 4 SŘS. Tato ustanovení zajišťují, že věc musí být předložena zvláštnímu senátu (paritně složenému z obou nejvyšších soudů), jestliže se soud správní neztotožní s názorem soudu civilního nebo soud civilní s názorem soudu správního. V takovém případě rozhodne zvláštní senát o tom, kdo je příslušný vydat rozhodnutí. Současně má pravomoc deklarovat nulitu rozhodnutí, vydaného 13

V této souvislosti odkazuji např. na Macur, J.: Civilní proces a právo na soudní ochranu. Právní rozhledy, 1996, č. 2, s. 41 - 45 111 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

soudem, který věcnou příslušnost neměl (pro případ kladného konfliktu), či v záporném kompetenčním konfliktu zrušit rozhodnutí, kterým ten, kdo příslušnost měl, ji nesprávně popřel. Výrok rozhodnutí zvláštního senátu je široce závazný (§ 5 odst. 5 zákona č. 131/2002 Sb.).14 Přitom ale ochranu proti nečinnosti správního orgánu (například při vedení sporu výše popsaného typu) nelze odepřít pouze z toho důvodu, že hmotněprávní nárok je povahy soukromoprávní.15 Naproti tomu jiný způsob ochrany (vymáhání) práv, která má veskrze smluvní, soukromoprávní charakter, je rozhodčí řízení. Předpokladem vzniku oprávnění rozhodců k projednání a rozhodnutí sporu ve smyslu zákona č. 216/1994 Sb., o rozhodčím řízení a o výkonu rozhodčích nálezů, je vedle toho, aby se jednalo o spor arbitrabilní (tj. aby šlo o majetkový spor s výjimkou sporů v souvislosti s výkonem rozhodnutí a sporů vyvolaných prováděním konkursu a vyrovnání, k jejichž projednání a rozhodnutí by jinak byla dána pravomoc soudu a aby strany mohly o předmětu sporu uzavřít smír), též existence rozhodčí smlouvy. Rozhodčí nález, bez ohledu na to, zda byl vydán v rozhodčím řízení ad hoc nebo stálým rozhodčím soudem (např. Rozhodčím soudem při Hospodářské komoře České republiky a Agrární komoře České republiky) či podle Rozhodčích pravidel UNCITRAL, nemůže být v žádném případě považován za rozhodnutí státního orgánu. Rozhodci bez ohledu na skutečnost, že česká právní úprava se blíží jurisdikční teorii, vykonávají svoji funkci jako soukromé osoby.16 Zda je nebo není jejich činnost výkonem státní moci nestátním orgánem, tj. zda dochází dochází k delegaci státní moci, je předmětem diskuse.17 Přesto podle hlubokého přesvědčení autorova, není využívání rozhodčího řízení v případě složitějších sporů o plnění v souvislosti s informačními systémy vhodné, a to z důvodu prakticky minimální možnosti opravného prostředku – řízení je jednoinstanční18 a soud zruší rozhodčí nález prakticky pouze z formálních, procesních důvodů (pochybení rozhodčího soudu)19 14

Mazanec, M.: Rozhodování soukromoprávních věcí správními orgány. Právní rozhledy, 2003, č. 2, s. 55 a násl. 15

Viz rozsudek Nejvyššího správního soudu ze dne 14. 7. 2004, čj. 5 As 31/200349. Sbírka rozhodnutí Nejvyššího správního soudu, 2005, č. 3, 487/2005 Sb. NSS. 16

Viz Růžička, K.: K otázce právní povahy rozhodčího řízení. Bulletin advokacie, 2003, č. 5, s. 32 - 40 17

Zevrubně viz např. Bělohlávek, A.J., Pezl, T.: Postavení rozhodčího řízení v systému ochrany práv a ústavního pořádku České republiky a dalších zemí. Právní rozhledy, 2004, č. 7, s. 256 – 261. 18

Výjimky popisuje A. J. Bělohlávek v článku Druhá instance v rozhodčím řízení. Právní zpravodaj, 2003, č. 6, s. 5, podrobně pak Zákon o rozhodčím řízení a o výkonu rozhodčích nálezů : komentář / Alexander J. Bělohlávek / Praha : C.H. Beck [Praha], 2004. 19

Podle § 31 Soud na návrh kterékoliv strany zruší rozhodčí nález, jestliže a) byl vydán ve věci, o níž nelze uzavřít platnou rozhodčí smlouvu, b) rozhodčí smlouva je z jiných důvodů neplatná, nebo byla zrušena, anebo se na dohodnutou věc nevztahuje, c) ve věci se zúčastnil rozhodce, který nebyl ani podle rozhodčí smlouvy, ani jinak povolán k rozhodování, nebo neměl způsobilost být rozhodcem, d) rozhodčí nález nebyl usnesen většinou rozhodců, e) straně nebyla poskytnuta možnost věc před rozhodci projednat, f) rozhodčí nález odsuzuje stranu k plnění, které nebylo oprávněným žádáno, nebo k plnění podle tuzemského práva nemožnému či nedovolenému, g) se zjistí, že jsou dány důvody, pro které lze v občanském soudním řízení žádat o obnovu řízení. 112 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

Soukromoprávní ochrana vychází především ze smluv uzavřených provozovatelem informačního systému s jinými subjekty, a to jak se zaměstnanci, tak s dalšími osobami (ať už fyzickými nebo právnickými) nebo z jiných možností, daných normami soukromého práva (občanský nebo obchodní zákoník, autorský zákon apod.). Soukromoprávní ochrana informačních systémů je doplňkem veřejnoprávní ochrany a je nezbytná zejména tam, kde veřejnoprávní ochrana by byla nepřiměřená, neexistuje nebo může selhat v důsledku nezvládnutého či nezvládnutelného procesu dokazování.20 Pro soukromoprávní ochranu je typickým znakem rovné postavení účastníků občanskoprávních vztahů. Soukromoprávní ochrana je uskutečňována obvykle takovými instituty, jako jsou ochrana osobnosti, ochrana autorských práv či jiných práv duševního vlastnictví a samozřejmě prostřednictvím klasických postupů, jako je náhrada škody a vydání bezdůvodného obohacení, neboť z hlediska soukromoprávního jsou informační systémy a jejich součásti věcmi nebo jinými majetkovými hodnotami.21 Oba způsoby ochrany jsou často komplementární, resp. lze je používat oba současně, případně – s ohledem na vyhodnocení konkrétní situace – zvolit ten způsob ochrany, který se jeví účinnější z hlediska cílů, jichž má být dosaženo. Tak například neoprávněný zásah do autorských práv lze obecně postihnout jak soukromoprávně, aplikací relevantních ustanovení autorského zákona, tak trestněprávně, případně v rámci přestupkového řízení. Přesto je třeba souhlasit s J. Burešem, který uvedl v Senátu ČR v roce 2001, že „Jak chrání demokratická společnost vlastnictví? Především mravním kodexem demokratické společnosti, tedy stavem, který je demokratické společnosti vlastní, kdy mravní hodnotou je také ochrana vlastnictví. Tam, kde mravní kodexy, tedy morálka, nestačí, nastupuje právo, především právo soukromé a soukromoprávní ochrana, tedy především civilní žaloba. Teprve tam, kde ani s civilními nároky právo nevystačí, se zákonodárci vždy a tradičně uchylovali k trestní represi.“22 Možnosti soukromoprávní ochrany pro futuro (preventivní) směřují dle našeho názoru jen tam, kde existuje – nebo může na základě cíleného jednání vzniknout – smluvní partner. Generální prevence podle § 415 ObčZ je podle dříve publikovaného názoru v oblasti tak složité, jakou jsou informační systémy, velmi málo použitelná.23 Samozřejmě soukromoprávní obrana (dovolávání se práva) při následném porušení pokojného stavu (typicky způsobení škody nebo jiné nemajetkové újmy) je plně namístě. Přesto i zde je třeba zdůraznit, že v této oblasti je dokazování (získávání a provádění důkazů) mimořádně subtilní a složitou záležitostí, kterou jedna z (teoreticky rovnoprávných) smluvních či sporných stran nemusí vždy mít vůbec šanci zvládnout.24 20

Princip „In dubio pro reo“ způsobuje, že řadu deliktů je možné nakonec řešit pouze soukromoprávní cestou. 21

Podrobně viz zejména Smejkal, V. a kol.: Právo informačních a telekomunikačních systémů. 2. vydání. Praha, C.H.Beck 2004. 22

Těsnopisecká zpráva, 2. den schůze Senátu Parlamentu ČR, 28. února 2001. http://www.senat.cz/xqw/xervlet/pssenat/original/10256/10256 23

Viz Smejkal, V., Švestka, J.: Odpovědnost za škodu při provozu informačního systému, aneb nemalujme čerta na zeď. Právní rozhledy, XIII., 2005, č. 19, s.719 - 721. 24

Viz lit. Smejkal, V. a kol.: Právo informačních a telekomunikačních systémů. 2. vydání. Praha, C.H.Beck 2004 nebo Smejkal, V.: Kriminalita v prostředí informačních systémů a na Internetu. In: Ve službách práva. Sborník k 10. výročí založení pobočky 113 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

Na ideu, kterou vyslovil výše cit. J. Bureš, je tedy v oblasti informačních systémů třeba odpovědět tak, že právo soukromé neposkytuje vždy a dostatečně ochranu informačním systémům a jejich komponentám, takže veřejnoprávní ochrana je plně namístě.

7.

Veřejnoprávní ochrana informačních systémů

Podle různých průzkumů stavu informační bezpečnosti ve světě i u nás lze zobecnit, že největšími hrozbami jsou: 1. únik citlivých informací v důsledku jednání zaměstnanců (aktivní krádež dat nebo nedbalostní prozrazení či umožnění úniku); 2. neoprávněný přístup do počítačové sítě organizace přes komunikační síť (typicky Internet) od narušitele zvenčí za účelem: a) získání informací, b) neoprávněného užívání hardware a/nebo software, c) poškození programů a/nebo dat v počítači uložených, d) znemožnění užívání hardware, software a/nebo dat jiným osobám; 3. virové napadení (zvenčí – obvykle přes Internet nebo zevnitř – nahrání infikovaného souboru zaměstnancem); 4. odposlech dat z interní sítě (LAN) nebo upraveného hardware (počítače, klávesnice, tiskárny apod.); 5. chyby zaměstnanců nebo dodavatelů (externistů) při instalacích hardware nebo software, při jejich užívání a/nebo údržbě; 6. porušování autorských práv (úmyslně či z nedbalosti); 7. selhání důležitého systému v důsledku poruchy hardware včetně komunikací nebo chyby v software nebo sabotáže (zevnitř, zvenčí); 8. výpadek v dodávce energie; 9. krádež zařízení; 10. živelná pohroma, požár, teroristický útok nebo jiný útok směřující především proti hmotnému majetku. Hrozby uvedené ad 1.-7. jsou převážně spojeny s úmyslným či nedbalostním jednáním určité osoby vůči informačnímu systému vzhledem k jeho vlastnostem, tj. nikoliv jako k věci movité, přičemž úmyslem či následkem jednání delikventa je způsobení škody nebo jiné újmy nebo získání neoprávněného prospěchu. Dále to jsou činnosti, které využívají vlastností IS ke spáchání určitého „nepočítačového“ trestného činu, ale mimořádně účinným způsobem. Jsou to především trestné činy spočívající v šíření informací (informační delikty), neboť v prostředí počítačových sítí, především Internetu lze s minimálním nákladem šířit množství podněcujících či difamujících informací. Problémem vyplývajícím z prostředí IS je značná variabilita možných jednání, převažující distanční charakter činu, existence stop pouze v elektronické podobě a jejich snadné zahlazení. Skutečností, vyplývající z těchto vlastností, je nevhodná nebo nedostatečně definovaná skutková podstata trestných činů v trestním zákoně, což při aplikaci zásady „nullum crimen, nulla poena sine lege“ nás staví do nikoliv neobvyklé situace obtížného či nemožného stíhání některých sofistikovaných deliktů, spáchaných v prostředí IS. Veřejnoprávní vymezení bezpečnosti ISVS je dáno souborem právních norem, a to: a) zcela obecných předpisů, jakými jsou občanský zákoník, obchodní zákoník, trestní zákon, zákoník práce apod.; nakladatelství C.H.Beck v Praze. 1. vydání. Praha, C.H.Beck 2003, s. 323 – 341. 114 SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

b)

speciálních právních norem upravujících zvláštní otázky týkající se IS u všech subjektů práva – zejména zákon o ochraně osobních údajů, autorský zákon, zákon o ochraně utajovaných informací, zákon o účetnictví, zákon o informačních systémech veřejné správy, zákon o elektronickém podpisu apod.; c) zvláštních předpisů, které upravují zvláštní povinnosti týkající se zacházení s informacemi u vybraných subjektů – například zákon o České národní bance, o územních finančních orgánech atd.; d) předpisy pro ISVS vyplývající ze zákona o informačních systémech veřejné správy. Z toho lze dovodit, že právní normy ad a) a b) se budou vztahovat na každý subjekt (pokud daný zákon nepřipouští výjimku), tedy samozřejmě v plné míře i na správce ISVS. Pokud daný subjekt bude současně působit podle zvláštních předpisů – bude se jednat např. o Českou národní banku, kromě těchto předpisů bude podléhat i požadavkům vyplývajících z jeho zvláštního postavení. A pouze na ISVS se budou vztahovat požadavky vyplývající ad e). Základním, ale nikoliv jediným předpisem, realizujícím veřejnoprávní ochranu všech IS je trestní zákoník, bohužel, díky odmítnutí nového návrhu trestního zákoníku v březnu 2006 Poslaneckou sněmovnou stále v podobě historického zákona č. 140/1961 Sb., mnohokráte novelizovaného. V rámci něj je ochrana proti výše popsaným jednáním realizována především v rámci ust. § 257a – Poškození a zneužití záznamu na nosiči informací, jehož skutková podstata se vztahuje na pachatele, který „získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch a) takových informací neoprávněně užije, b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení“. Již v minulosti se ukázalo, že výše uvedený popis jednání nemůže být aplikován na všechny případy neoprávněného nakládání s IS nebo jeho částmi.25 Zřejmé je to v případě tzv. hromadných útoků (DoS, DDoS), které zahltí zařízení příjemce natolik, že to přestane fungovat, v případě neoprávněného užívání počítače dálkovým způsobem, které se jeví nestíhatelným podle ust. § 249 stávajícího trestního zákona, nebo i v případě jednání, které by bylo na první pohled podřaditelné pod ust. § 257a. Potíže činí i prokazování naplnění subjektivní stránky trestného činu. Podle rozsudku Nejvyššího soudu ČR platí, že „Subjektivní stránka trestného činu poškození a zneužití záznamu na nosiči informací podle § 257a odst. 1 písm. a) TrZ nespočívá jen v tom, že úmyslným zaviněním pachatele je zahrnuto získání přístupu k nosiči informací a neoprávněné užití takových informací. Subjektivní stránka tohoto trestného činu je širší, protože do ní spadá také to, že pachatel jedná s úmyslem způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch. Objektivně však takový následek nemusí nastat. Má-li být obviněný uznán vinným trestným činem poškození a zneužití záznamu na nosiči informací podle § 257a odst. 1 TrZ, může se tak stát, pokud jde o subjektivní stránku činu, jen na podkladě konkrétně zjištěných a ve skutkové části výroku o vině uvedených skutečností, které naplňují alespoň některou alternativu ze zákonných znaků vyjádřených v dikci „v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch“. Není-li zde žádná taková skutková okolnost obsažena, lze v tom spatřovat nesprávné právní 25

Viz Smejkal, V.: Kriminalita v prostředí informačních systémů a rekodifikace trestního zákoníku. Trestněprávní revue, II., 2003, č. 6, s. 161 – 167. 115 SYSTÉMOVÁ INTEGRACE 2/2006

Bezpečnost informačních systémů veřejné správy

posouzení skutku ve smyslu dovolacího důvodu podle § 265b odst. 1 písm. g) TrŘ.“26 Lze tedy konstatovat, že veřejnoprávní ochrana informačních systémů je v rámci trestního práva v ČR nedostatečná. Pokud jsou konstruovány jiné ochrany v rámci jiných veřejnoprávních předpisů, pak se tyto obvykle zaměřují již jen na speciální případy, obvykle ve vztahu k obsahu nebo způsobu užití informačního systému.27 Proto jsme si slibovali od nového trestního zákoníku, že i v této oblasti bude reagovat na rychlý vývoj technologií i praktik zločinců, a zkvalitní ochranu IS v době plně rozvinuté informační společnosti. Bohužel se tak nestalo, nikoliv z důvodů věcných, ale politických. Nový trestní zákoník reagoval na mezinárodní právní akty (zejm. Úmluva Rady Evropy o počítačové kriminalitě)28 i na zkušenosti z právní teorie i praxe u nás (zejm. viz cit. lit.). Současně je návrh nové kodifikace založen na formálním pojetí trestného činu, čímž došlo k opuštění principu materiálního pojetí podle stávající právní úpravy. Z hlediska ochrany IS bychom zde našli ustanovení, která odpovídala moderním pojetí trestněprávní ochrany v podmínkách 21. století, jako jsou: § 204 – Neoprávněný přístup k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací Toto ustanovení sankcionovalo jednání podobně jako ust. § 257a stávajícího TrZ, ale na základě jinak, lépe a šířeji kvalifikované skutkové podstaty. Podle něj se rozlišovala situace, kdy pachatel: 1. poruší bezpečnostní opatření a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části; 2. získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací qneoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá, nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat. V obou těchto případech je skutková podstata naplněna bez ohledu na obsah úmyslu či následek jednání pachatele. Vyšší sankce pak přicházela v úvahu, pokud pachatel spáchal uvedený čin • v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, 26

Usnesení Nejvyššího soudu České republiky ze dne 28. 11. 2002, sp. zn. 7 Tdo 953/2002. Soudní rozhledy/C.H.BECK, 2003, č. 7, s. 247. 27

Např. podle zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, zákona č. 121/2000 Sb., autorského zákona, ve znění zákona č. 81/2005 Sb., nebo zákona č. 127/2005 Sb., o elektronických komunikacích ve znění pozdějších předpisů. 28

Convention on Cybercrime (ETS no. 185), viz http://conventions.coe.int/ 116

SYSTÉMOVÁ INTEGRACE 2/2006

Vladimír Smejkal

•

v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat, • jako člen organizované skupiny, nebo • způsobí-li takovým činem vážnou poruchu v činnosti státního orgánu, jiného orgánu veřejné správy nebo samosprávy, právnické osoby nebo fyzické osoby, která provozuje podnikatelskou činnost podle zvláštního právního předpisu, státního podniku nebo jiného podniku. § 205 – Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat Toto ustanovení se týkalo postihu za výrobu či jakékoliv jiné nakládání se zařízením nebo jeho součástí, postupem, nástrojem nebo jakýmkoliv jiným prostředkem, včetně počítačového programu, vytvořeným nebo přizpůsobeným k spáchání trestného činu neoprávněného přístupu k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací podle § 204 nebo trestného činu porušování tajemství dopravovaných zpráv podle § 157 navrhovaného TrZ. § 206 – Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti Zařazení tohoto ustanovení do trestního zákoníku bylo autorem tohoto textu navrhováno již delší dobu, neboť vzhledem k obtížnému prokazování úmyslu při některých jednáních, jakož i vzhledem k vysoké společenské nebezpečnosti při způsobení poruchy v provozu významného informačního systému, postrádal právní řád jakoukoliv ochranu resp. sankci proti takovému jednání. V úzké součinnosti s Ministerstvem spravedlnosti se podařilo navrhnout text, který vyvažoval poměr mezi zbytečnou kriminalizací jednání, postižitelného v rámci soukromoprávní ochrany, a mezi dostatečnou veřejnoprávní ochranou v případě obzvlášť škodlivého jednání: „Kdo z nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí značnou škodu, bude potrestán odnětím svobody až na šest měsíců, propadnutím věci nebo zákazem činnosti.“ Odnětím svobody až na dvě léta, propadnutím věci nebo zákazem činnosti měl být pachatel potrestán, způsobí-li tímto činem škodu velkého rozsahu.29 Zamítnutím trestního zákoníku Poslaneckou sněmovnou Parlamentu ČR na jaře 2006 nedošlo k žádoucímu posílení trestněprávní ochrany v České republice proti nejzávažnější druhy trestné činnosti – od násilné kriminality až po kriminalitu informatickou. Jelikož nelze spoléhat na to, že v dalším volebním období bude zákoník znovu předložen, a to ve stejně kvalitním návrhu, lze doporučit všem subjektům, jejichž činnost je závislá na provozování či využívání informačních systémů, aby v maximální možné míře prověřily současný stav právní ochrany IS (provedly právní audit) a využily všech možností ochrany těchto IS cestou soukromého práva. 29

Značnou škodou se rozumí podle stávajícího i podle navrhovaného TrZ škoda dosahující částky nejméně 500 000 Kč a škodou velkého rozsahu dosahující nejméně částky 5 000 000 Kč. 117 SYSTÉMOVÁ INTEGRACE 2/2006