Bezpečnost informačních systémů - zákony a instituce1 Petr Doucek Vysoká škola ekonomická Fakulta informatiky a statistiky Katedra systémové analýzy
[email protected] Motto: „In „e“ we trust“ (Delina, Vajda, 2006)
Abstract: A large number of acts and legal rules dealing with information security represent permanent increasing dependency of our society on information technology. Other exposure of this feature is all over the world accepted requirements on information technology correct functionality, privacy, integrity and accessibility. This contribution presents a short scope of selected acts valid in the Czech national legal framework and their influence on information society establishment with accent on constitution of information security authorities. There are presented main roles and missions of following authorities in this article – The National Security Office (NBÚ), The Ministry of Interior of then Czech Republic (MV ČR), The Office for Personal Data Protection (ÚOOÚ), The Czech Office for Standards, Metrology and Testing (UNMZ), The Czech Standards Institute (CNI), The International Organization for Standardization (ISO). The short description of existing working groups (WG) and sub-commissions (SC) working in the area of information technology security in the frame of ISO is mentioned at the end of the article. General valid processes for acceptance of ISO international standards are presented here. Key Words: Information Security Management System, Legal frame, Authorities Klíčová slova: Systém řízení informační bezpečnosti, zákonné úpravy, instituce V současné době, kdy se prakticky všechny národy světa vydávají na cestu k znalostní společnosti a kdy probíhají změny v ekonomice, které i vynutily změnu názvu ekonomiky na „novou ekonomiku“ (Kelly, 1998) nebo také „znalostní ekonomiku“ (Drucker, 1992), se neustále větší a větší pozornost obrací k informačním systémům a informačním a komunikačním technologiím (IS/ICT) jako významnému zdroji konkurenční výhody. IS/ICT představují v takto komplexní a provázané společnosti konkurenční výhodu ve dvou hlavních směrech. Prvním z nich je jejich ovládání a schopnost jejich užívání, která dává uživatelům výhodu před těmi, kteří jich buď neumí využívat vůbec, nebo je umí využívat pouze v omezeném rozsahu a druhou, daleko významnější výhodou, je využívání obsahu informačních systémů – tedy dat, informací a znalostí, které jsou v nich uloženy a které jsou k dispozici pouze tomu, kdo ví a zná, jak s nimi pracovat. Druhá konkurenční výhoda předsta1
Článek byl zpracován za podpory Grantové agentury České republiky rámci řešení grantového úkolu 201/07/0455 „Model vztahu mezi výkonností podnikání, účinností podnikových procesů a efektivností podnikové informatiky.“ 30
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
vuje výhodu efektivnější, protože ji nastavuje do oblasti segmentů bezprostředních konkurentů nebo soupeřů na přibližně srovnatelné úrovni. Zdrojem těchto výhod není ovšem existence IS/ICT jako takových, ale jejich efektivní zapojení do celé společnosti, kterou potom nazýváme společností znalostní. Mezi základní pilíře korektního fungování znalostní společnosti řadíme (Dahlman, 2006): −
legislativu, legislativní pravidla,
−
profesní a kvalifikační předpoklady lidí – jejich vzdělávání,
−
informační a komunikační technologie,
− inovace. Legislativa je nezbytná, aby vyřešila problémy spojené se zrovnoprávněním dokumentů a dat uložených v IS/ICT s daty v klasické papírové formě. Všechny ostatní oblasti se de facto týkají IS/ICT. Cílem získání profesních a kvalifikačních předpokladů lidí pro práci se znalostmi je minimálně je naučit plnit s IS/ICT efektivně své pracovní i mimopracovní úkoly (např. vztahy se státem – elektronická administrativa, elektronické obchodování, elektronické bankovní služby) (Delina, Vajda, 2006). Samotné inovace pak představují širokou platformu pro rychlé progresivní změny v ekonomice založené zejména na schopnosti využívat IS/ICT. IS/ICT se tak stávají kritickým faktorem úspěšnosti ekonomiky nejen firem, ale i celých států a prakticky i celého lidstva. Zamyslíme-li se nad těmito fakty do důsledků, jako někteří filozofové (Pstružina, 2001), (Fukujama, 1992), dojdeme k závěru, že celá naše ekonomika a společnost je založena na důvěře (Delina, 2008). Ne ovšem na důvěře v dobré konání lidí, ve vlastní schopnosti, dovednosti a znalosti, ale na důvěře v IS/ICT. IS/ICT se tak pomalu z „dobrého sluhy“ stává „vrtošivým a nevyzpytatelným pánem“, který stále víc a víc ovlivňuje naše konání, rozhodování a ve finále určuje i hranici mezi úspěchem a neúspěchem. Aby IS/ICT nebyly oním zmíněným „zlým pánem“, je nutné je permanentně kontrolovat a starat se o tom aby plnily svůj základní úkol – poskytovaly služby (Doucek, Novotný, 2007). Aby IS/ICT poskytovaly požadované služby a tím i uspokojovaly požadavky, které na ně uživatelé kladou, je nutné zajistit jejich bezproblémový chod. Pro zajištění chodu IS/ICT je nutné splnit celou řadu požadavků. Jedním z nich je i požadavek na bezpečnost provozovaného IS/ICT. Základním úkolem a cílem bezpečnosti IS/ICT organizace je zabezpečit a ochránit její aktiva v oblasti IS/ICT – tedy investice, které byly vynaloženy, aby mohla vykonávat svoje činnosti spojené s hlavními procesy a tím se realizovat na trhu. Z tohoto pohledu je zcela jedno, jestli se jedná o organizaci soukromou, státní, o instituci státní nebo veřejné správy nebo o nadaci. Určité odchylky na jedné straně směrem ke zjednodušení procesů a na straně druhé k jejich kumulaci je možné pozorovat zejména u malých a středních organizací (Antlová, 2008). Informační systémy se často stávají oběťmi útoků různých druhů lidí, kteří jsou lehkomyslní a udělají závažnou chybu nebo kteří chtějí získat neoprávněnou výhodu z průniku do cizího informačního systému nebo kterým jen stačí pocit, že jsou tak dobří, že jsou schopni překonat opatření, které informační systém chrání. Protože ale nikdy nevíme a priori o jaký typ narušitele se jedná – jestli o člověka se špatným úmyslem, „sportovce“ nebo jenom o pracovníka, který je nedbalý musíme se těmto útokům, přesněji řečeno potenciálním hrozbám takových útoků, bránit.
SYSTÉMOVÁ INTEGRACE 3/2008
31
Bezpečnost informačních systémů – zákony a instituce
Cílem našeho snažení je ochrana investic vložených do IS/ICT a celkový rámec, jak mohou nebo musí probíhat takové činnosti, určuje legislativní rámec země nebo skupiny zemí. Tento rámec pak představuje vlastně základ pro budování informační společnosti. Legislativní rámec České republiky představují v oblasti bezpečnosti IS/ICT zejména následující vybrané zákony, jimiž jsou zřizovány instituce nebo vymezována jejich působnost podporující prosazení bezpečnosti IS/ICT:
32
•
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů – na jeho základě pracuje Úřad pro ochranu osobních údajů,
•
zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti vymezuje působnost Národního bezpečnostního úřadu. Prováděcí vyhlášky toho zákona pro jednotlivé specializované oblasti jsou: o vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor, o vyhláška č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací, o vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací, o vyhláška č. 526/2005 Sb., o stanovení vzorů používaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náležitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a o způsobu podání žádosti podnikatele (vyhláška o průmyslové bezpečnosti), o vyhláška č. 527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k žádosti o vydání osvědčení fyzické osoby a k žádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto žádostí (vyhláška o personální bezpečnosti), o vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, o vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací,
•
zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS) a o změně některých dalších zákonů, jak vyplývá ze změn provedených zákonem č. 517/2002 Sb., zákonem č. 413/2005 Sb., zákonem č. 444/2005 Sb., zákonem č. 70/2006 Sb. a zákonem č. 81/2006 Sb. – zakládá v současnosti působení Odboru koncepce a koordinace ISVS Ministerstva vnitra České republiky; Cílem novelizované právní úpravy je dosáhnout vyšší efektivity při pořizování a obnově informačních systémů veřejné správy, nastavit průhledné a standardizované procesy při zavádění a správě informačních systémů veřejné správy a v neposlední řadě připravit vhodné prostředí pro rozšiřování a zvyšování kvality služeb poskytovaných veřejnou správou občanům a podnikatelům; Zákon upravuje způsob správy informačních systémů veřejné správy, uvádí řadu zásadních odborných řešení a povinnosti atestačních středisek, což vede k vydání několika prováděcích předpisů: SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
Vyhláška č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích (vyhláška o informačním systému o datových prvcích). Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní). Vyhláška č. 528/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o informačních systémech veřejné správy). Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy). Dále byly vydány vyhlášky upravujících činnost atestačních středisek a podmínky vykonávání atestací ISVS.
o
o
o
o
o
•
−
Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb informačních systémů veřejné správy prostřednictvím referenčního rozhraní.
−
Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy.
zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů. Zákon č. 22/1997 Sb. nabyl účinnosti 1.9.1997 a byl postupně novelizován zákony č. 71/2000 Sb., č. 102/2001 Sb., č. 205/2002 Sb., č. 226/2003 Sb. a č. 277/2003 Sb. Jimi je právně úpravena technická normalizace včetně technické normalizace bezpečnosti IS/ICT. Zákon upravuje práva a povinnosti, které souvisí s tvorbou a vydáváním českých technických norem. Na základě zákona vydalo MPO rozhodnutí č. 203/97, kterým byl s účinností od 1.9.1997 Český normalizační institut pověřen zabezpečováním tvorby a vydáváním českých technických norem (Sdělení MPO č. 237/1997 Sb.) ;
•
zákon České národní rady č. 20/1993 Sb., o zabezpečení výkonu státní správy v oblasti technické normalizace, metrologie a státního zkušebnictví – vymezuje pravomoci a povinnosti Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví. K legislativnímu rámci České republiky v oblasti IS/ICT včetně řízení jejich bezpečnosti patří celá řada dalších zákonů a vyhlášek. Kromě nich mají vliv na nasazování IS/ICT i zákonné úpravy i jiných zemí (Kunstová, 2006), (Svatá, 2005) . U ne všech zákonů, norem, standardů a vyhlášek je souvislost s IS/ICT na první pohled patrná, jako třeba u zákona na zadávání veřejných zakázek (číslo) a SYSTÉMOVÁ INTEGRACE 3/2008
33
Bezpečnost informačních systémů – zákony a instituce
mnohých dalších zejména z oblasti řízení jakosti (Weber, 2006), (Novotný, 2005), účetnictví, výkaznictví a auditu (Svatá, 2006).
Instituce zabývající se bezpečností IS/ICT Na základě výše uvedených zákonů vznikly instituce, jejichž hlavním úkolem je řešit otázky spojené s bezpečností informačních systémů a informačních a komunikačních technologií. Některým z nich je věnován následující text.
Úřad pro ochranu osobních údajů - ÚOOÚ Zákonem č. 101/2000 Sb., o ochraně osobních údajů a Listinou základních práv a svobod je zaručeno právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů. V současné společnosti může být vlivem rozvoje informačních technologií toto právo stále více, častěji lehčeji narušováno. ÚOOÚ je nezávislým orgánem, který zejména: −
provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů,
−
vede registr povolených zpracování osobních údajů,
−
přijímá podněty a stížnosti občanů na porušení zákona,
− poskytuje konzultace v oblasti ochrany osobních údajů. Úlohou ÚOOÚ je tedy chránit soukromí občanů proti zneužití dat uložených v IS/ICT různých organizacích jak soukromých, tak i státních. Další významnou úlohou ÚOOÚ kontrola shromažďování osobních údajů (třeba i z veřejně dostupných zdrojů) a možnosti z nich odvozovat vztahy, jejichž zveřejněním nebo využitím by mohlo dojít k porušení soukromí občanů.
Národní bezpečnostní úřad - NBÚ Národní bezpečnostní úřad je podle ustanovení § 2 odst. 1 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy, ve znění pozdějších předpisů, ústředním orgánem státní správy. Podle ustanovení § 136 odst. 1 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, vykonává Národní bezpečnostní úřad státní správu v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti a jeho hlavní úkoly jsou vymezeny v ustanovení § 137 tohoto zákona. Národní bezpečnostní úřad zejména:
34
−
rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu,
−
plní úkoly v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána,
−
vede ústřední registr a schvaluje zřízení registrů v orgánech státu a u podnikatelů,
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
−
ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku,
−
zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího elektromagnetického vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí,
−
provádí certifikace technických prostředku, informačních systému, kryptografických prostředku, kryptografických pracoviště a stínicích komor,
−
zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků,
−
vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany. Systém ochrany utajovaných informací umožňuje minimalizovat počet informací utajovaných ve veřejném zájmu, zajišťuje jim nejvyšší možnou ochranu a zabezpečuje přístup k těmto informacím pouze osobám, které je nezbytně potřebují k výkonu svého povolání nebo funkce. Dále vytváří předpoklady pro práci s utajovanými informacemi v České republice a také pro jejich výměnu v rámci mezinárodních styků a to zejména: −
stanovuje informace, které je nutno v zájmu České republiky chránit,
−
stanovuje diferencovaně jednotlivé stupně utajení utajovaných informací a kritéria pro jejich používání,
−
upravuje výkon státní správy v oblasti ochrany utajovaných informací,
−
stanovuje práva a povinnosti právnických a fyzických osob,
−
stanovuje konkrétní podmínky, které musí splňovat osoba, jež má být určena pro styk s utajovanými informacemi,
−
stanovuje postup při určování osob a způsob provádění bezpečnostních prověrek osob,
−
upravuje zvláštní způsoby určování osob a vymezuje okruh osob určených ze zákona,
−
stanovuje postup při zprošťování povinnosti mlčenlivosti,
−
upravuje prostředky ochrany utajovaných informací,
−
upravuje kryptografickou ochranu,
−
vymezuje oblast průmyslové bezpečnosti bezpečnostní prověrky organizace,
−
upravuje ochranu utajovaných mezinárodních styků,
−
upravuje evidenci utajovaných utajovaných informací,
−
upravuje výkon státního dozoru nad ochranou utajovaných informací,
informací informací
a
způsob
poskytovaných prostřednictvím
provádění v
rámci registrů
−
stanovuje sankce za porušení povinností stanovených zákonem,
−
stanovuje dobu platnosti určení osoby a způsob nakládání s utajovanými informacemi, které byly provedeny podle nynější právní úpravy.
SYSTÉMOVÁ INTEGRACE 3/2008
35
Bezpečnost informačních systémů – zákony a instituce
Prováděcí vyhlášky zákona č. 412/2005 Sb., pak vymezují, v souladu s ustanovení § 5 tohoto zákona, druhy zajištění ochrany utajovaných informací, jejichž úroveň je sledována NBÚ: −
personální bezpečnost,
−
průmyslová bezpečnost,
−
administrativní bezpečnost,
−
fyzická bezpečnost,
−
bezpečnost informačních a komunikačních technologií,
−
kryptografická ochrana.
Ministerstvo vnitra – MV ČR, Odbor koncepce a koordinace ISVS Útvary v podřízenosti náměstka ministra vnitra pro veřejnou správu, informatiku, legislativu a archivnictví - Sekce informatiky, Odbor koncepce a koordinace ISVS. Odbor převzal během roku 2007 kompetence bývalého Ministerstva informatiky ČR. Odbor je útvarem, který zajišťuje výkon vybraných kompetencí ministerstva podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, jak vyplývá ze změn provedených zákonem č. 517/2002 Sb., zákonem č. 413/2005 Sb., zákonem č. 444/2005 Sb., zákonem č. 70/2006 Sb. a zákonem č. 81/2006 Sb. Odbor zajišťuje v kompetencích plynoucích ze zákona č. 365/2000 Sb. zejména následující činnosti: −
vydávání správních rozhodnutí podle tohoto zákona,
−
tvorbu metodických dokumentů pro výkon odborných činností v oblasti informačních systémů veřejné správy,
−
zpracování návrhů právních předpisů v oblasti informačních systémů veřejné správy,
−
provoz veřejného informačního systému o datových prvcích, a to včetně vyhlašování datových prvků,
−
provoz veřejného informačního systému, který obsahuje informace o dostupnosti a obsahu informačních systémů veřejné správy,
−
vydávání správních rozhodnutí ve věci pověření k provádění atestací a pověření k provádění akreditace,
−
kontrolu plnění povinností orgánů veřejné správy, dozor nad atestačními středisky a akreditující osobou. Do působnosti odboru koncepce koordinace ISVS patří i výkon činností spojených s vydáváním atestací různým organizacím pro atestaci komponent, metodik nebo postupů na soulad se standardy ISVS.
Český normalizační institut - ČNI Český normalizační institut je státní příspěvková organizace řízená Ministerstvem průmyslu a obchodu. Poslání ČNI je zejména: −
36
vytvářet podmínky pro tvorbu technických norem dokumentů a podporovat jejich používání,
a souvisejících
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
−
koordinovat tvorbu mezinárodních, evropských a národních technických norem a souvisejících dokumentů,
−
vytvářet produkty podporující využívání technických norem a normativních dokumentů,
− šířit technické normy a produkty podporující jejich využívání. ČNI je odpovědný za: −
tvorbu českých technických norem, jejich jednotnost a vzájemný soulad a soulad s právními předpisy,
−
včasné zveřejňování oznámení o připravovaných návrzích českých technických norem, jejich vydání, změnách a zrušení ve Věstníku Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví,
−
projednávání návrhu české technické normy, její změny nebo zrušení s každým, kdo se ve stanovené lhůtě přihlásí a uplatňování ochrany oprávněného zájmu,
−
vydávání českých technických norem a jejich distribuci,
−
poskytování informací o technických normách,
−
plnění povinností vyplývajících z členství v mezinárodních a evropských normalizačních organizacích,
−
zabezpečování účasti na spolupráci s mezinárodními a evropskými normalizačními organizacemi,
−
služby spojené s dobrovolnou certifikací shody výrobků s českými technickými normami. Český normalizační institut je v České republice jediný, kdo dodává všechny technické normy a poskytuje veškeré související informace a služby, které jsou tím správným a nezbytným klíčem k evropskému i světovému trhu. ČNI se aktivně podílí na mezinárodní spolupráci zejména v následujících oblastech: −
Mezinárodní spolupráce (tvorba pracovních dokumentů pro zpracovatele norem, tvorba nabídek spolupráce pro vybrané odborníky).
−
Mezinárodní zasedání (tvorba Plánu technické normalizace, Pokyny pro sestavování plánu technické normalizace pro aktuální rok, Plán technické normalizace - Normotvorné a rozborové úkoly, Úkoly mezinárodní spolupráce).
−
Spolupráce s Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví.
−
Metodické pokyny.
−
Návrh na zrušení norem pro jejich technickou zastaralost, neaktuálnost nebo z jiných důvodů.
−
Návrhy evropských norem a jiných dokumentů CEN (European Committee for Standardization - Evropský normalizační výbor), CENELEC (European Committee for Electrotechnical Standardization - Evropská komise pro normalizaci v elektrotechnice), ETSI (European Telecommunications Standards Institute – Evropský institut pro telekomunikační standardy) předkládané k veřejnému projednání.
SYSTÉMOVÁ INTEGRACE 3/2008
37
Bezpečnost informačních systémů – zákony a instituce
−
Rozšiřování schválených evropských norem a jiných dokumentů CEN, CENELEC, ETSI.
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví ÚNMZ ÚNMZ je organizační složkou státu v resortu Ministerstva průmyslu a obchodu ČR. Hlavním posláním ÚNMZ je zabezpečovat úkoly vyplývající ze zákonů České republiky upravujících technickou normalizaci, metrologii a státní zkušebnictví a úkoly v oblasti technických předpisů a norem uplatňovaných v rámci členství České republiky v Evropské unii. Úřad vykonává působnost státu v následujících oblastech : −
harmonizace technických předpisů,
−
technické normalizace,
−
metrologie,
− zkušebnictví. Působnost Úřadu je stanovena zákonem č. 20/1993 Sb., o zabezpečení výkonu státní správy v oblasti technické normalizace, metrologie a státního zkušebnictví, dále zákonem č. 22/1997 Sb., o technických požadavcích na výrobky, zákonem č. 505/1990 Sb., o metrologii a dále vyplývá z příslušných usnesení vlády a mezinárodních smluv, jimiž je Česká republika vázána.
Český institut pro akreditaci - ČIA Český institut pro akreditaci je obecně prospěšná společnost a jako Národní akreditační orgán založený vládou České republiky poskytuje své služby v souladu s platnými právními předpisy ve všech oblastech akreditace jak státním, tak privátním subjektům. Zejména udílí právo organizacím provádět audit a přípravu pro audit jiných právních subjektů podle platných standardů a norem (ISO, ČSN, EC apod.).
Mezinárodní spolupráce - ISO ISO je Mezinárodní organizace pro normalizaci (International Organization for Standardization) se sídlem v Ženevě, která byla založena v roce 1947. Zabývá se tvorbou, aktualizací a harmonizací mezinárodních norem ISO a jiných druhů dokumentů (technických specifikací - TS, technických zpráv - TR a veřejně dostupných specifikací - PAS, dohod o technických trendech – TTA, dohod z pracovní konference průmyslu – IWA, pokynů ISO apod.). ISO je světovou federací národních normalizačních organizací, v současnosti má 156 členů, z toho 100 řádných členů, 46 korespondenčních členů a 10 kandidátů na členství (stav k 31.12.2005). Členy ISO jsou jednotlivé národní normalizační organizace, garantující normalizaci v příslušné zemi (v podmínkách České republiky to je Český normalizační institut). Mezi základní povinností členů patří informovat zainteresované orgány a organizace ve své zemi o nových normalizačních aktivitách, zajišťovat za danou zemi jednotné stanovisko k předkládaným dokumentům a finančně podporovat činnost ISO. Členové ISO mají právo (resp. jejich delegovaní zástupci) účastnit se prací v libovolné technické komisi a vykonávat veškerá hlasovací práva, mohou být zvoleni do Rady ISO a jsou zastoupeni na Generálním zasedání ISO. 38
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
Technické práce zabezpečuje 192 technických komisí (TC), 541 subkomisí (SC) a 2188 pracovních skupin (WG) (stav k 31.12.2005). Na pracích technických komisí je možno se podílet jako: −
aktivní členové (P - členové - participating members), kteří mají povinnost účastnit se zasedání a hlasovat k dokumentům (případ České republiky v oblasti bezpečnosti IS/ICT) nebo
−
jako pozorovatelé (O - členové - observer members), kteří dostávají pracovní dokumenty a mají právo, nikoliv povinnost, účastnit se zasedání a hlasovat. Postupy pro technickou práci a pravidla pro zpracování norem jsou stanoveny ve Směrnicích ISO/IEC v částech 1 a 2, vydání 2001 a v dodatku ISO - 1. vydání 2001. Oblast bezpečnosti IS/ICT je pokryta technickou komisí JTC 1 (Joint Technical Committee 1 – Information Technology). Složení jejich subkomisí je uvedeno v následující tabulce Tab. 1. ID subkomise ISO/IEC JCT 1 SC 02 SC 06 SC 07 SC 17 SC 22
SC 23 SC 24 SC 25 SC 27 SC 28 SC 29 SC 31 SC 32 SC 34 SC 35 SC 36 SC 37
Název
Poznámka
Coded character sets. Telecommunications and information exchange between systems. Software and systems engineering. Cards and personal identification. Programming languages, their environments and system software interfaces. Digitally Recorded Media for Information Interchange and Storage. Computer graphics, image processing and environmental data representation. Interconnection of information technology equipment. IT Security techniques. Bezpečnost IS/ICT Office equipment. Coding of audio, picture, multimedia and hypermedia information. Automatic identification and data capture techniques. Data management and interchange. Document description and processing languages. User interfaces. Information technology for learning, education and training. Biometrics. Tab. 1 Složení JTC 1 – Informační technologie
SYSTÉMOVÁ INTEGRACE 3/2008
39
Bezpečnost informačních systémů – zákony a instituce
V České republice jsou normativní práce z oblasti bezpečnosti v oblasti informačních technologií realizovány na půdě Českého normalizačního institutu v Technické normalizační komisi 20 (TNK 20 – Informační technologie). Technické normalizační komise jsou odbornými normalizačními orgány s celostátní působností, registrovanými, metodicky řízenými a koordinovanými Českým normalizačním institutem. ČNI zřizuje TNK na návrh zainteresovaných zájmových oblastí společnosti a na základě doporučení příslušného normalizačního výboru (Technického normalizačního výboru nebo Elektrotechnického normalizačního výboru) ke komplexnímu řešení všech otázek technické normalizace ve vymezeném rozsahu oboru jejich působnosti. Činnost TNK je založena na principu zainteresovanosti různých zájmových oblastí společnosti na dosažení vzájemně prospěšných normalizačních řešení, a to formou účasti pověřených zástupců příslušných orgánů, organizací a podnikatelů v TNK, kteří uplatňováním požadavků svých zájmových oblastí zabezpečují dosažení konsenzu v řešených normalizačních otázkách. Síť TNK je otevřená, průběžně se aktualizuje a doplňuje podle potřeb a požadavků technické veřejnosti. TNK 20 byla založena 7.7.1993, jejím předsedou se stal Prof. RNDr. Jiří Vaníček, CSc. a tajemníkem se stal pracovník Českého normalizačního institutu Ing. Petr Wallenfels. Normalizace v oblasti informačních technologií, vymezená pro TNK 20, zahrnuje zpracování zejména následujících problémových oblastí: −
kódované grafické soubory znaků,
−
telekomunikace a výměna informací mezi systémy,
−
propojení zařízení informačních technologií,
−
softwarové inženýrství,
−
pružná magnetická média pro výměnu digitálních dat,
−
kazety s optickými disky pro výměnu informací,
−
kancelářská zařízení na zpracování dat,
−
karty a identifikace osob,
−
počítačová grafika a zpracování obrazu,
−
správa dat,
−
programovací jazyky,
−
bezpečnostní techniky,
−
popis dokumentů a jazyky pro jejich zpracování včetně složených a hypermediálních dokumentů,
−
uživatelská rozhraní,
−
informační technologie pro výuku, vzdělávání a školení; zdravotnická informatika. V současné době zahrnuje TNK 20, po své reformě provedené na konci roku 2007 v oblasti ISO, subkomise uvedené v následující tabulce Tab. 2.
40
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
ID subkomise ISO/IEC JCT 1 SC 02 SC 06 SC 07 SC 24 SC 25 SC 27 SC 28 SC 29 SC 35
Název
Poznámka
Coded character sets Telecommunications and information exchange between systems Software and systems engineering Computer graphics, image processing and environmental data representation Interconnection of information technology equipment IT Security techniques Bezpečnost IS/ICT Office equipment Coding of audio, picture, multimedia and hypermedia information User interfaces
Tab. 2 Složení TNK 20 – Informační technologie - ISO Kromě toho pracovní subkomise spolupracují se subkomisemi pracujícími v rámci dalších TNK. Velmi úzká spolupráce v oblasti bezpečnosti informačních systémů je s TNK 42, zejména s ISO/TC 68/SC 7 Bankovnictví, ISO/TC 154, TC46/SC 4, TC 184/SC 4 a dalšími.
Jak vznikají ISO normy? Proces schvalování mezinárodních norem ISO Příprava a zpracování veškerých ISO norem vychází z následujících hlavních principů: •
konsensus – při zpracování norem je zohledňováno široké spektrum názorů na daný problém od výrobců, prodejců, uživatelů, přes různé skupiny zákazníků a klientů, testovací laboratoře, státní sektor až po vědecké a výzkumné organizace,
•
průmyslové řešení – mezinárodní norma musí být použitelná po celém světě jako „nejlepší zkušenosti“ a musí být přijatelná jak pro široký okruh průmyslových společností, tak i pro běžné uživatele,
•
dobrovolnost – mezinárodní standardizace je pod silným tržním tlakem a proto spolupráce na řešení norem je založena na dobrovolném zapojení se do procesů tvorby, motivovaným vlastními zájmy na trhu.
Stupně zpracování ISO norem Mezinárodní normy jsou vyvíjeny v technických komisích a subkomisích. Pro postup jejich zpracování byl odsouhlasen následující postup: −
Fáze návrhu.
−
Fáze přípravy.
−
Fáze zpracování v komisích.
SYSTÉMOVÁ INTEGRACE 3/2008
41
Bezpečnost informačních systémů – zákony a instituce
−
Fáze připomínkování.
−
Fáze odsouhlasení.
− Fáze publikace. Fáze návrhu – první krok tvorby mezinárodní normy představuje proces odsouhlasení nutnosti vzniku normy národními normalizačními institucemi. Pracovní návrh normy (NWIP – New Work Item Proposal) včetně předpokládaného harmonogramu práce je zaslán P členům příslušné komise nebo subkomise. O NWIP hlasují všechny národní instituce. Návrh je přijat většinou hlasů a pokud se alespoň 5 P členů chce aktivně zúčastnit práce na tomto návrhu. V takovém případě je jmenován odpovědný řešitel projektu. Fáze přípravy - technická komise, případně ve spolupráci se subkomisí, jmenuje skupinu expertů včetně vedoucího projektu. Tato skupina pak připravuje pracovní verzi dokumentu (tzv. WD - Working Draft) při zapracování připomínek v komisi s cílem dosáhnout co nejlepšího technického řešení a souladu navrženého řešení s ostatními normami. Práce na dokumentu WD pokračuje tak dlouho, dokud nejsou vyřešeny všechny připomínky, které jsou v rámci připomínkového řízení k nové normě zasílány. Fáze zpracování v komisích - je zahájena v okamžiku, kdy je k dispozici první verze normy v úrovni CD (Committee Draft). Ta je zaslána do centrálního sekretariátu ISO, kde je registrována a následně ji sekretariát ISO odešle P členům k hlasování. Hlasování probíhá tak dlouho, dokud není mezi P členy dosaženo konsensu ohledně dikce normy. Potom je text normy zpracován do formy DIS (Draft International Standard). Fáze připomínkování – DIS je potom rozesílán jednotlivým P členům ke zpracování komentářů a hlasování na dobu pěti měsíců. Je odsouhlasen do formy FDIS (Final Draft International Standard), pokud k tomu dá souhlas 2/3 většina P členů komise nebo příslušné subkomise a pokud není více jak 1/4 hlasů záporných. Pokud nejsou splněna kritéria pro přijetí úrovně FDIS, je text vrácen původním zpracovatelům k dalšímu studiu a přípravě. Potom je znova předložen k hlasování. Fáze odsouhlasení – FDIS je rozeslán centrálním sekretariátem ISO všem P členům k závěrečnému hlasování o přijetí nebo nepřijetí textu normy. Doba pro hlasování je obvykle dva měsíce. Pokud přijdou v tomto období závažné technické připomínky, nejsou zapracovány do normy, ale jsou připraveny pro její následnou budoucí revizi. Norma je přijata jako mezinárodní standard (IS – International Standard) pokud jí akceptují 2/3 P členů a proti není více jak 1/4 hlasujících P členů. Pokud není standard odsouhlasen je předán pracovní skupině zpět k dopracování. Fáze publikace – Pokud je odsouhlaseno znění mezinárodního standardu a v připomínkách k němu jsou navrhovány pouze ediční změny, je mezinárodní standard odeslán do centrálního sekretariátu ISO, který tento mezinárodní standard vydá. Maximální doba trvání celého procesu od fáze schválení návrhu až po odsouhlasení stupně International Standard je 36 měsíců. ISO do současnosti vydala více jak 16000 mezinárodních norem na více než 620 000 stranách textu v anglickém a francouzském jazyce.
42
SYSTÉMOVÁ INTEGRACE 3/2008
Petr Doucek
Závěr Neustále rostoucí závislost celé společnosti na IS/ICT vytváří vzrůstající požadavky na zajištění jejich spolehlivosti a tím i důvěryhodnosti elektronických platforem. Vytvoření systému řízení bezpečnosti IS/ICT v organizacích je činností náročnou jak na čas, tak na znalosti a schopnosti a v neposlední řadě i na finanční prostředky. Samotné zavádění bezpečnosti do organizace může pro ní být procesem velmi bolestným, dlouhodobým a také poměrně nákladným. Velmi často připadá managerům, že se jedná o investici vynaloženou zbytečně a že by bylo možné prostředky - jak finanční, tak lidské - využít ku prospěchu organizace lépe. Investice do bezpečnosti IS/ICT má však do určité míry charakter pojištění – dokud se nic nestane, tak je zbytečná, ale jakmile se „něco“ – resp. cokoli – přihodí, pak je doslova a do písmene k nezaplacení. K samotnému zavádění a zavedení bezpečnosti do organizace je potřeba znalostí a schopností, které nejsou úplně běžně na trhu IS/ICT dostupné. Aby měly organizace po celém světě přístup k takovým specializovaným znalostem, jsou základní mechanismy a zvyklosti oblasti bezpečnosti IS/ICT uloženy do mezinárodních standardů (Doucek, Novotný, 2007). V nich je uloženo know-how a „nejlepší zkušenosti - best practices“, které vznikly na základě spolupráce předních expertů z mnoha zemí světa v oblasti bezpečnosti IS/ICT – nevymýšlejme to, co je již hotové. Ovšem k aplikaci sebelepších mezinárodních standardů je nutné přistupovat kreativně a ne mechanicky a zároveň je nezbytné umět je přizpůsobovat konkrétním podmínkám organizací, v nichž je chceme aplikovat. Pokud by manager bezpečnosti IS/ICT chtěl aplikovat například pro malou firmu nasazení všech doporučených organizačních struktur tak, jak jsou uvedeny v mezinárodních standardech, vypadalo by to jako by chtěl „jít s kanónem na vrabce“. Standardy mají sice celosvětovou platnost, ale specifika jednotlivých organizací, firem, zemí a kultur musí vystihnout lokální odborníci. Tím platnost mezinárodních standardů nejen potvrdí, ale myšlenky v nich uložené ještě zúročí do větších efektů pro cílovou organizaci.
Literatura: Antlová, K: Informační a znalostní podpora malých a středních podniků, In: Hradecké ekonomické dny 2008, ISBN 978-80-7041-190-2 Dahlman, C.: China and India as Emerging Technological Powers, In.: V. Knowledge Economy Forum Prague, March 28-30, 2006 Delina, R., Vajda, V.: Teória a prax elektronického obchodovania. TU-EkF, 2006, 150 s., ISBN 80-8073-452-6 Delina, R.: Budovanie dôvery na elektronických obchodných platformách, Habilitační práce, Universita Hradec Králové, Fakulta informatiky a managementu, 2008 Doucek, P., Nedomová, L., Klas, J.: Integrated Management System in Information Society. Organizacija, 2006, roč. 39, č. 1, s. 16–27. ISSN 1318-5454 Doucek, P., Novotný, O.: Standardy řízení podnikové informatiky, Standardy řízení podnikové informatiky. E+M. Ekonomie a Management, 2007, roč. X, č. 3, s. 132–146. ISSN 1212-3609.
SYSTÉMOVÁ INTEGRACE 3/2008
43
Bezpečnost informačních systémů – zákony a instituce
Drucker, P.: The Age of Discontinuity, Guidelines to Our Changing Society, Harper&Row, 1992, ISBN 1-56000-618-8 Fukuyama, R.: The Trust: The social Virtuos and the Creation of Prosperity, Hamish Hamiloton Ltd, 1992, London, ISBN 0-241-13376-9 Kelly, K.: New Rules for the New Economy, Ten Radical Strategies for the Connected World. Penguin Group, New York USA, 1998. ISBN 067088111-2 Kunstová, R.: Zákony a změny v informatice. Systémová integrace, 2006, roč. 13, č. 4, s. 16–22. ISSN 1210-9479 Novotný, O.: Cyklus článků: Měříme podnikovou informatiku. Měření provozu a služeb. IT Systems, 2005, roč. 7, č. 6 - 12. ISSN 1212-4567 Pstružina, K: Faust and the Problems in e-economics. Zadov 19.09.2001 – 21.09.2001. In: Hofer, Christian, Chroust, Gerhard (ed.). IDIMT-2001. Linz : Universitätsverlag Rudolf Trauner, 2001, s. 293–300. ISBN 3-85487-272-0. Svatá, V.: Cyklus článků s názvem: IS/IT kontroly v účetním výkaznictví. Interní auditor, 2006, roč. 10, č. 1, 3, 4, ISSN 1213-8274 Svatá, V.. Audit informačního systému. 1. vyd. Praha : Oeconomica, 2005. 168 s. ISBN 80-245-0975-X. Weber, J.: Management kvality, environmentu a bezpečnosti práce. 1. vyd. Praha : Management Press, 2006. 358 s. ISBN 80-7261-146-1.
Internetovské zdroje: použité v únoru roku 2008 www.cia.cz www.cni.cz www.iso.org www.mvcr.cz www.nbu.cz www.unmz.cz www.uoou.cz
44
SYSTÉMOVÁ INTEGRACE 3/2008
