VYSOKÁ ŠKOLA EKONOMIE A MANAGEMENTU
BAKALÁŘSKÁ PRÁCE
2012
MARTIN KOČÍ
VYSOKÁ ŠKOLA EKONOMIE A MANAGEMENTU Nárožní 2600/9a, 158 00 Praha 5
BAKALÁŘSKÁ PRÁCE
KOMUNIKACE A LIDSKÉ ZDROJE
Vysoká škola ekonomie a managementu +420 841 133 166 /
[email protected] / www.vsem.cz
VYSOKÁ ŠKOLA EKONOMIE A MANAGEMENTU Nárožní 2600/9a, 158 00 Praha 5 NÁZEV BAKALÁŘSKÉ PRÁCE
Bezpečnost a nakládání s daty a elektronickými dokumenty v podniku
TERMÍN UKONČENÍ STUDIA A OBHAJOBA (MĚSÍC/ROK)
srpen/2012
JMÉNO A PŘÍJMENÍ / STUDIJNÍ SKUPINA
Martin Kočí KLZ2
JMÉNO VEDOUCÍHO BAKALÁŘSKÉ PRÁCE
Ing. Miroslav Lorenc
PROHLÁŠENÍ STUDENTA Prohlašuji tímto, že jsem zadanou bakalářskou práci na uvedené téma vypracoval samostatně a že jsem ke zpracování této bakalářské práce použil pouze literární prameny v práci uvedené. Datum a místo: 17.07.2012 Praha
_____________________________ podpis studenta
PODĚKOVÁNÍ Rád bych tímto poděkoval vedoucímu bakalářské práce za cenné rady a konzultace, které mi poskytl při zpracování mé bakalářské práce.
Vysoká škola ekonomie a managementu +420 841 133 166 /
[email protected] / www.vsem.cz
VYSOKÁ ŠKOLA EKONOMIE A MANAGEMENTU
Bezpečnost a nakládání s daty a elektronickými dokumenty v podniku Safety and handling of data and electronics documents in enterprise
Autor: Martin Kočí
Souhrn Tato práce se zabývá ochranou a bezpečností při nakládání s daty a elektronickými dokumenty v podniku. Data a elektronické dokumenty je nutno chránit proti ztrátě, zcizení, zneuţití nebo zničení v důsledku ţivelných událostí a poruch hardwaru. Touto problematikou se zabývá informační bezpečnost, která se zaměřuje na celou řadu hrozeb. Jejím hlavním cílem je eliminovat přímé i nepřímé ztráty podniku, způsobené ztrátou nebo nedostupností dat. Informační bezpečnost zahrnuje také zásady zpracování informací, ukládání dat a jejich archivaci. Informační bezpečnost by měla být realizována jako součást systémového řešení bezpečnosti podniku jako celku s přesně definovanými vlastnostmi a parametry. Základní dokument, kterým se řídí informační bezpečnost podniku, je bezpečnostní politika, na jejímţ základě je vypracován bezpečnostní projekt a stanoveny organizační a technická opatření. V neposlední řadě musí podniky dodrţovat povinnosti v oblasti ochrany a bezpečnosti dat nejen smluvní, ale zejména zákonné, které jsou stanoveny normami, nařízeními vlády, zákony a také předpisy Evropské unie. Summary This work deals with the protection and safety in the handling of data and electronic documents in the company. The data must be protected against loss, theft or destruction due to natural disaster and hardware failures. This issue deals with information security, which focuses on a wide range of threads. Its main objective is to eliminate direct and indirect loss of business causes by the loss or unavailability of data. Information security also includes the principles of information processing, data storage and archiving. Information security should be implemented as a part of system security Solutions Company as a whole well defined properties and parameters. The basic document governing the information security business, security policy, under which the project is developed and defined security organizational and technical measures. Finally, firms must comply with the obligations in the field of data protection and security not only contractual, but also legal, as set out standards, government regulations, laws and regulations of the European Union.
Klíčová slova: Data, dokument, informační bezpečnost, ochrana dat.
Keywords: Data, document information security, data protection.
JEL Classification: C890 – Data Collection and Data Estimation Methodology; Computer programs: Other K290 – Regulation and Business Law: Other M150 – IT Management
Obsah 1 Úvod ............................................................................................................................. 1 2 Teoreticko-metodologická část práce ........................................................................... 3 2.1 Uvedení do problematiky....................................................................................................... 3 2.2 Výběr postupů a metod při zabezpečení dat a dokumentů..................................................... 7 2.3 Konverze dokumentů a zrovnoprávnění jejich elektronické a papírové formy ................... 11 2.4 Poţadavky na zaměstnance v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty ........................................................................................................................... 14 2.5 Právní zabezpečení ochrany dat ........................................................................................... 16
3 Praktická část práce .................................................................................................... 18 3.1 Základní údaje o podniku .................................................................................................... 18 3.1.1
Organizační struktura společnosti................................................................................... 20
3.1.2
Zákazníci společnosti ..................................................................................................... 20
3.2 Analýza současného stavu zabezpečení nakládání s daty a elektronickými dokumenty ..... 21 3.2.1
Zabezpečení nakládání s daty a elektronickými dokumenty .......................................... 21
3.2.2
Riziko zneuţití dat .......................................................................................................... 25
3.2.3
SWOT analýza ................................................................................................................ 27
3.3 Diskuze a návrh opatření na zlepšení současného stavu ...................................................... 28
4 Závěr ........................................................................................................................... 32 Literatura ......................................................................................................................... 34 Přílohy ............................................................................................................................... 1
Seznam zkratek CCTV
Uzavřený televizní okruh (Closed-circuit Television)
CD
Kompaktní disk (Compact disc)
DVD
Digitální univerzální disk (Digital Versatile Disc)
EKV
Elektronická kontrola vstupu
EPS
Elektrická poţární signalizace
EZS
Elektronická zabezpečovací signalizace
IS
Informační systém
IT
Informační technologie
ICT
Informační a komunikační technologie
Seznam tabulek Tabulka 1 Výnosy společnosti z běţné činnosti ......................................................19 Tabulka 2 Výsledek hospodaření před zdaněním ....................................................19 Tabulka 3 Vyhodnocení míry rizik společnosti Alsig..............................................26 Tabulka 4 SWOT analýza ........................................................................................27
Seznam obrázků Obrázek 1 Souvislosti mezi základními prvky informačního procesu......................4 Obrázek 2 Vztah úrovní bezpečnosti ve firmě ..............................................................5 Obrázek 3 Proces zpracování standardů formou projektu .......................................10 Obrázek 4 Příklad ověřovací doloţky ......................................................................12 Obrázek 5 Logo společnosti .....................................................................................18 Obrázek 6 Organizační struktura podniku ...............................................................20
1 Úvod V současném vysoce konkurenčním prostředí do popředí vystupuje nutnost ochrany důleţitých dat a informací v kaţdém podniku, ať jiţ se jedná o ochranu před ţivelnými událostmi, zneuţitím, kriminalitou, vandalismem, nebo neoprávněným přístupem. Z výše uvedených důvodů je nutné se touto problematikou důkladně zabývat a hledat všechny dostupné způsoby zabezpečení, ale také vzdělávání a vedení zaměstnanců k zodpovědnému přístupu a práci s daty a informacemi. Tato problematika je velmi obsáhlá a také náročná, protoţe vzhledem k rychle se vyvíjejícím informačním technologiím a tím také informační bezpečnosti vznikají stále nové programy, které mají tento úkol zajistit. Vzhledem k tomuto vývoji tak musí jak státní organizace a instituce, tak i soukromé firmy neustále inovovat své informační systémy a zejména systémy informační bezpečnosti, protoţe i různí útočníci na tento vývoj a programy aktivně reagují. Je potřeba si uvědomit, ţe při výše uvedených podmínkách je skutečně velice obtíţné zajistit bezpečnou ochranu dat a informací. Nedostatek potřebných informací v oblasti informační bezpečnosti pak často vede managementy podniků k rozhodnutím, která jsou zaloţena na subjektivním posouzení a ve svém důsledku mohou podnik značným způsobem poškodit. Cílem této práce je analýza přístupu zaměstnanců k bezpečnosti a nakládání s daty, včetně elektronických dokumentů ve společnosti Alsig, spol. s r. o. a na základě zjištěných skutečností navrhnout vhodná opatření, která by mohla přispět k větší bezpečnosti dat a elektronických dokumentů. Vzhledem k tomu, ţe se uvedený podnik zabývá poskytování komplexních sluţeb v oblasti slaboproudých systémů a zejména elektronickou ochranou objektů, je pro něho bezpečnost při nakládání s daty a elektronickými
dokumenty prioritní
záleţitostí.
Dalšími
cíli
jsou
vysvětlení
bezpečnostních postupů a metod ochrany při nakládání s daty, přínos vynakládání prostředků na ochranu dat, poznání týkající se vhodné personální politiky podniku, zaměřené nejen na přijetí vhodných zaměstnanců, ale také poznání o nutnosti jejich průběţného vzdělávání, a to tak, aby informace mohly být vyuţity pro zlepšení ochrany dat a dokumentů i v dalších podnicích.
1
Vlastní práce je sloţena z několika částí, kdy po úvodu následuje teoretickometodologická část, ve které budou vysvětleny základní a nejdůleţitější pojmy, normy a postupy, které se vztahují k předmětu práce, tj. bezpečnosti a nakládání s daty a elektronickými dokumenty. V praktické části práce, která bude zaměřena na společnost Alsig, spol. s r. o., bude provedena analýza přístupu zaměstnanců v oblasti bezpečnosti dat a bude popsáno, jak se management podniku snaţí v maximální moţné míře omezit vznik bezpečnostních incidentů nebo výskytů informačního rizika. Pozornost je v této části také věnována konkrétním doporučením, vycházejícím z provedené analýzy, která by mohla přispět ke zlepšení situace v oblasti bezpečnosti dat. Pro vypracování bude vyuţito několik odborných metod, jako jsou rešerše odborné literatury, obsahová analýza zkoumaných činností, syntéza a následné vyhodnocení rizikových oblastí a dále také analýza rizik spojených se ztrátou, případně zveřejněním dat. Dále je potřeba uvést, ţe výše uvedené metody se v práci budou samozřejmě prolínat, protoţe jak uvádí například Molnár1, například analýzu a syntézu nelze chápat odděleně nebo izolovaně, protoţe „je důležité důmyslně rozebírat jev na menší složky a z nich potom sestavit celek. Není to však pouhé skládání jednotlivých částí, ale je to činnost odhalování nových vztahů a zákonitostí.“
1
MOLNÁR, Z. (2007). Úvod do základů vědecké práce: sylabus pro potřeby semináře doktorandů. Zlín: [s.n.], str. 6.
2
2 Teoreticko-metodologická část práce 2.1 Uvedení do problematiky Jestliţe se má tato práce zabývat bezpečností a nakládání s daty a elektronickými dokumenty, je potřeba se nejdříve zorientovat v některých základních pojmech. Zejména je třeba upozornit na rozdíl mezi pojmy data a informace. „Data jsou většinou chápána jako statická fakta, časově nezávislá. Informace patří k obecnějším kategoriím současné vědy, řadí se mezi takové pojmy, jako hmota, vědomí, myšlení, poznání, pohyb, čas. Pojmy data a informace se v praxi často zaměňují nebo slučují.“2 „Údaj reprezentuje zachycený fakt o nějakém objektu reality. Kolekci údajů označujeme pojmem data. Informace je význam přisouzený datům.“3 Obecně lze tedy říci, ţe data jsou základní jednotkou informačního procesu, neboli jsou nositeli informace. Pojem informace je charakterizován základními vlastnostmi informace, mezi které podle Gály, Poura a Šedivé4 patří:
informace je nehmotná,
informace doplňuje poznatky o jistých skutečnostech,
informace můţe být obsaţena jak ve znacích (resp. signálech), tak i v jejich vzájemném uspořádání v podobě sdělení a zpráv, jejichţ fyzická podoba je různá,
znaky a signály poskytují informaci pouze tomu, kdo jim rozumí a kdo je schopen rozpoznat jejich syntaxi a sémantiku.
Jak vyplývá z předcházejícího textu, je důleţité schopnost informace správně pochopit a patřičně zpracovat. Teprve správnou interpretací totiţ informace získávají na své hodnotě. Z výše uvedeného vyplývá, ţe hodnota informace nezáleţí na formě, ve které se vyskytuje, ale na tom, co pro nás tato informace znamená. Prací s informacemi 2
MINISTR, J. (2011). Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, str. 9.
3
GÁLA, L., POUR, J., ŠEDIVÁ, Z., (2009) Podniková informatika 2., přepr. a akt. vyd. Praha: Grada publishing, str. 61.
4
GÁLA, L., POUR, J., ŠEDIVÁ, Z., (2009) Podniková informatika 2., přepr. a akt. vyd. Praha: Grada publishing, str. 22.
3
vznikají znalosti, které jsou definovány jako „vědomosti získané zkušeností.“5 Moderním nástrojem analýzy informačních zdrojů je informační audit. Například podle Dobrovské, Očka a Zemana6 „informační audit podporuje efektivní využívání informací vznikajících v rámci organizace či získávaných z vnějšího prostředí, napomáhá účinné komunikaci informací subjektům mimo organizaci, usnadňuje sdílení informací v rámci společnosti a přispívá k jednotnému vnímání cílů, hodnot, kultury a celkově identity organizace.“ Jak naznačují uvedené atributy, je informační audit úzce spojen se znalostním managementem, se kterým sdílí cíle v podobě efektivní správy informací, informačního systému a komunikační strategie společnosti. Souvislosti mezi základními prvky informačního procesu ukazuje obrázek č. 1. Obrázek 1 Souvislosti mezi základními prvky informačního procesu
Zdroj: DOMBROVSKÁ, M., OČKO, P., ZEMAN, P. Informační audit – nástroj znalostního managementu organizace. [online], roč.9, č. 9, 2005[cit. 2012-04-10], dostupné na WWW:
.
Protoţe je význam informací pro podnik většinou značný, je potřeba je odpovídajícím způsobem také chránit. Tímto problémem se zabývá informační bezpečnost, která je zaměřena na celou řadu hrozeb, a zajišťuje tak kontinuitu činnosti podniku, minimalizuje obchodní ztráty a maximalizuje návratnost vloţených investic do podniku.
5
COLLISON, CH., PARCEL, G. (2005). Knowledge management. 1. vyd. Brno: Computer Press, str. 23.
6
DOMBROVSKÁ, M. OČKO, P., ZEMAN, P. (2005). Informační audit – nástroj znalostního managementu organizace. [online], roč.9, č. 9, 2005[cit. 2012-04-10], dostupné na WWW: .
4
Kostiha7 uvádí, ţe „informační bezpečnost je s managementem firem spojena dvěma vazbami.“ V prvním případě jde o marketingovou souvislost. Pokud chce společnost zvýšit svojí důvěryhodnost pomocí certifikace systému zajištění jakosti, musí při auditu prokázat i určitou úroveň zabezpečení informací. Druhou vazbou je neoddělitelnost informací od řízení podniku, včetně podnikových procesů. V tomto případě je informace zdrojem, stejně jako jsou zdrojem pracovníci nebo peníze. V této souvislosti vidí Kostiha8 problém v tom, ţe „nezajištěnost vlastních zdrojů ohrožuje produkci, tedy vstupy zákazníků a tím vede k růstu rizik pro společnost samu a k lavinovitému šíření hrozeb do okolního komerčního prostředí.“ Hlavními cíli informační bezpečnosti podle Kostihy9 jsou:
zachování důvěrnosti informace, tedy zajištění přístupu k informaci pouze autorizovaným osobám,
dostupnost informací pro autorizované osoby,
integrita informací, neboli zajištění neměnnosti a celistvosti informací.
Vztah úrovní bezpečnosti v podniku je znázorněn na obrázku 2. Obrázek 2 Vztah úrovní bezpečnosti ve firmě
Zdroj: POŢÁR, J., (2005). Informační bezpečnost. Plzeň: Aleš Čeněk, str. 39.
Zde je potřeba podotknout, ţe bezpečnost informací je, tak jak to bude uvedeno i v praktické části této práce, spolu s bezpečností majetku, bezpečností objektů apod., součástí celkové bezpečnosti podniku. Informační bezpečnost proto zahrnuje mimo 7
KOSTIHA, F. (2006). Bezpečnost informací. [online], [cit. 2012-04-10], dostupné na WWW:
8
KOSTIHA, F. (2006). Bezpečnost informací. [online], [cit. 2012-04-10], dostupné na WWW:
9
KOSTIHA, F. (2006). Bezpečnost informací. [online], [cit. 2012-04-10], dostupné na WWW:
5
vlastní zásady bezpečnosti IS a IT také zásady zpracování informací, přenos a ukládání dat a jejich archivaci. Podle ČSN ISO/IEC 1779910 je bezpečnost informací charakterizována jako chování: 1. důvěrnosti – utajení informací nebo zdrojů. Je třeba zajistit, aby informace byla dostupná jen osobám, které jsou k přístupu k informaci oprávněné. Důvěrnost je zajišťována především mechanismy přístupu. 2. integrity – důvěryhodnost, správnost a kompletnost informací, dat a zdrojů. Integrita tedy zahrnuje nejen integritu informačního obsahu dat, ale také integritu zdroje těchto dat. 3. dostupnosti – zajištění přístupu k informacím autorizovaným uţivatelům dle jejich potřeby. Management podniků často zajímá pouze zjištění dostupnosti jednotlivých informací, aby byla zajištěna realizace podnikových aktivit. Bohuţel nezbytnost zajištění důvěrnosti a integrity si uvědomují často aţ při vzniku určitého bezpečnostního incidentu. Přitom z dostupné literatury a internetových zdrojů je zřejmé, ţe bezpečnosti informací lze dosáhnout implementací celé řady opatření, které mohou existovat ve formě různých pravidel či postupů, nebo programových funkcí. Jedním z těchto opatření je i informační gramotnost, coţ je podle Vymětala a kol. 11 schopnost efektivně vyhledávat a hodnotit informace, které se vztahují k určité potřebě. Podobně definuje informační gramotnost agentura STEM/MARK, jako „schopnost rozeznat, kdy potřebuji informace, umět je vyhledat, vyhodnotit a efektivně využít.“ 12 Z výše uvedeného textu je zřejmé, ţe zabezpečení nakládání s daty a elektronickými dokumenty je potřeba realizovat jako součást systémového řešení bezpečnosti podniku jako celku. Cílem tohoto řešení by mělo být vytvoření bezpečnostního systému, který bude mít přesně definované vlastnosti a parametry. Zde je pozitivní, ţe i přes současné
10
ČSN ISO/IEC 17799. (2005). Informační technologie. Soubor postupů pro management bezpečnosti informací. Praha: Český
11
VYMĚTAL, J., DIAČIKOVÁ, A., VÁCHOVÁ, M. (2005). Informační a znalostní management v praxi. 1. vyd. Praha:
12
PETERKA, J. (2005). Jak se měří informační gramotnost? [online], [cit. 2012-04-10], dostupné na WWW:
normalizační institut, str. 10.
LexisNexis, str. 21.
.
6
globální ekonomické problémy, jsou zabezpečovací systémy jednou z mála oblastí, do které podniky stále investují a kde návratnost investic je zřejmá i netechnicky zaměřeným manaţerům.
2.2 Výběr postupů a metod při zabezpečení dat a dokumentů Celá tato oblast je zaměřená na zásady bezpečné správy dat a dokumentů, na přijetí závazných postupů důleţitých pro správu bezpečnosti a jednoznačné přiřazení odpovědnosti za jednotlivé činnosti, které Poţár13 řadí do šesti základních kroků: 1. cíle a strategie řešení bezpečnosti informací, 2. analýza rizik, 3. bezpečnostní politika organizace, 4. bezpečnostní projekt, standard, strategie, 5. implementace bezpečnosti, 6. hodnocení, monitoring a audit. Někteří další autoři, jako například Mlýnek14, uvádějí mezi postupy a odpovědnosti v první řadě zdokumentování obsluţných procedur, změnová řízení, postupy při incidentu, uplatňování principu oddělení neslučitelných funkcí, oddělení vývojového a provozního prostředí, kontroly sluţeb IS poskytovaných třetí stranou, systémové plánování a akceptace, ochrana proti škodlivému softwaru, zálohování informací, bezpečnostní záznamy, zabezpečení přenosu informací, zabezpečení přenosných médií, zabezpečení elektronického obchodování, bezpečné pouţívání e-mailu. Jak vyplývá z uvedených postupů, základním cílem a strategií informační bezpečnosti je eliminovat přímé a nepřímé ztráty způsobené poškozením, zničením, zneuţitím nebo nedostupností informací.
13
POŢÁR, J. (2005). Informační bezpečnost. Plzeň: Aleš Čeněk, str. 84.
14
MLÝNEK, J. (2007) Zabezpečení obchodních informací, 1. vyd. Brno: Computer Press, str. 62.
7
Dalšími cíli podle Ministra15 jsou:
zhodnotit současnou úroveň informační bezpečnosti,
definovat, jaké budou poţadované úrovně a principy řízení v oblasti informační bezpečnosti,
navrhnout postupy k dosaţení definované úrovně informační bezpečnosti,
připravit pracovní prostředí pro udrţování a zvyšování dosaţené úrovně informační bezpečnosti.
Výstupem této etapy by měla být studie bezpečnosti, která bude obsahovat popis současného stavu informační bezpečnosti v podniku a která bude vytyčovat hlavní směry dalšího postupu v této oblasti. V současné době se k analýze rizik pouţívají následující přístupy:
základní analýza rizik – opatření jsou vytvořena na základě porovnání podobných systémů a z všeobecných standardů,
neformální analýza rizik – analýza je provedena na základě znalostí odborníků, přičemţ se standardní metody nevyuţívají,
detailní analýza rizik – analýza je provedena za pouţití standardních strukturovaných metod ve všech fázích analýzy, jde o nejpřesnější, ale také nejnáročnější metodu,
kombinovaná analýza rizik – analýza, v níţ je dle uváţení v jednotlivých oblastech pouţita analýza základní, neformální, nebo detailní; tato metoda je pouţívaná nejčastěji.
15
MINISTR, J. (2011). Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, str. 45.
8
Pro zajištění informační bezpečnosti je dále důleţitá bezpečnostní politika, kterou je třeba chápat jako základní dokument řídící dokumentace v rámci informační bezpečnosti podniku. Podle ČSN ISO/IEC 1779916 by tento dokument měl obsahovat následující náleţitosti:
definici bezpečnosti informací, její cíle, rozsah a její důleţitost,
prohlášení managementu organizace o záměru podporovat cíle a principy bezpečnosti informací,
stručný výklad bezpečnostních zásad, principů a norem a poţadavky zvláštní důleţitosti pro organizaci, např. -
dodrţování legislativních a smluvních poţadavků,
-
poţadavky na vzdělávání v oblasti bezpečnosti,
-
zásady prevence a detekce virů i ostatního škodlivého programového vybavení,
-
zásady plánování kontinuity činností organizace,
-
důsledky porušení bezpečnostních zásad,
stanovení obecných a specifických odpovědností pro oblast managementu bezpečnosti informací, včetně hlášení bezpečnostních incidentů,
odkazy na dokumentaci, která můţe bezpečnostní politiku podporovat, např. na detailnější bezpečnostní politiky a postupy zaměřené na specifické informační systémy nebo bezpečnostní pravidla, která by měli uţivatelé dodrţovat.
Na základě vypracování bezpečnostní politiky by měl být podle Ministra17 dále vypracován bezpečnostní projekt, ve kterém budou definovány základní principy bezpečnostní politiky, budou definovány konkrétní opatření a to jak organizačněadministrativní, tak i personálního a technického charakteru. Výstupem bezpečnostního projektu je standardní dokument ve formě různých závazných dokumentů podniku, jako jsou normy, směrnice, definované postupy a další, tak jak je to znázorněno na obrázku č. 3.
16
ČSN ISO/IEC 17799. (2005). Informační technologie. Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, str. 13.
17
MINISTR, J. (2011). Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, str. 58.
9
Obrázek 3 Proces zpracování standardů formou projektu
Vrcholový management
Bezpečnostní politika
Bezpečnostní management
Zpracování bezpečnostního projektu
Bezpečnostní konzultanti
Organizační opatření: - Normy - Směrnice - Postupy - Procedury Technická opatření: - Normy - Směrnice - Postupy - Procedury
Zdroj: Vlastní zpracování podle MINISTR, J. (2011) Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, str. 58.
Z uvedeného obrázku vyplývá, ţe bezpečnostní standardy z bezpečnostní politiky podniku nejen vyplývají, ale jsou a musí s ní být i ve vzájemné shodě. Zatímco ale bezpečnostní politika podniku je ve své podstatě neměnným dokumentem, u bezpečnostních standardů se naopak předpokládá, ţe u nich bude docházet k častější frekvenci úprav a to s ohledem na aktuální bezpečnostní vývoj a situaci. Důleţité je také podotknout, ţe jednotlivé normy, předpisy, směrnice, postupy a procedury musí vycházet z platných zákonných předpisů, mezinárodních i českých norem, které se podnik rozhodl ve své bezpečnostní politice akceptovat, ale samozřejmě i z dalších vlastních podnikových předpisů a potřeb. Interní bezpečnostní předpisy podniku jsou totiţ součástí jeho interní předpisové a podpisové základny, ať jiţ se vztahují k jakékoliv organizační části podniku.
10
2.3 Konverze dokumentů a zrovnoprávnění jejich elektronické a papírové formy Úvodem je třeba uvést, ţe elektronický dokument „je tvořen jedním nebo několika elektronickými záznamy. Tyto záznamy mohou být textově zpracované záznamy, emailové zprávy, tabulky z tabulkových kalkulátorů, pohyblivé nebo nehybné obrazy, zvukové soubory nebo jakýkoliv jiný typ digitálního objektu.“18 Digitální dokumenty jsou tedy takové dokumenty, jejichţ obsah není bezprostředně čitelný a jsou vyuţitelné pouze s pomocí počítačových technologií. Dlouhodobé uchovávání takovýchto dokumentů se neorientuje pouze na uchování originálu na původním médiu, ale zejména na uchování projevu záznamu na výstupním zařízení. Dále je nutné zvolit vhodné médium, na které bude uchování, neboli zálohování, provedeno. Velmi důleţitým kritériem je v tomto případě, kromě kapacity, ţivotnost médií. V současné době připadá v úvahu jen jeden typ médií, a to média optická. Doba jejich ţivotnosti se udává v případě lisovaných disků na 20 – 100 let, nejméně 25 let pro přepisovatelné disky a odhadem 100 – 200 let pro jednou zapisovatelné disky. Doba ţivotnosti také závisí na manipulaci s médii a vnějších podmínkách prostředí, ve kterém jsou uchovávány. Uvedené doby ţivotnosti optických médií jsou však jen odhadovány, protoţe je ze zřejmých důvodů nebylo moţné nijak ověřit. Co se týká vlastní konverze, je třeba rozlišovat mezi neautorizovanou a autorizovanou konverzí dokumentů, přičemţ neautorizovaná konverze se odlišuje v následujících náleţitostech19:
18
výstup nemá statut ověřené kopie
nepřidává se ověřovací doloţka, viz obrázek č. 4,
je moţné převádět dokumenty z jednoho formátu do druhého,
je prováděna určenými průvodci.
EUROPEAN COMMUNITIES. (2002). Modelové požadavky na správu elektronických dokumentů. Lucemburk: Kancelář úředních publikací Evropských společenství, str. 17.
19
Subjekty provádějící konverzi mají zákonem stanovena pravidla fungování.
11
Zjednodušeně lze tedy říci, ţe výše uvedeným typem konverze nevzniká dokument, který by měl váhu nebo účinky veřejné listiny. Obrázek 4 Příklad ověřovací doloţky
Zdroj: PETERKA, J. (2010). Autorizovaná konverze dokumentů: padělek už vám nezkonvertují. [online], [cit. 2012-04-10], dostupné na WWW:
Zákon č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů zavedl termín autorizovaná verze dokumentů. Tento typ konverze znamená úplné převedení dokumentu v listinné podobě do podoby elektronické, nebo opačně úplné převedení elektronického dokumentu do listinné podoby. Přitom dokument, který takto vznikl, má stejné právní účinky jako doposud pouţívaná ověřená kopie, je k němu vystavena výše uvedená ověřovací doloţka, která je poté uloţena do centrálního
12
úloţiště. Agentura CzechPOINT20 uvádí dva následující postupy při získání konverze dokumentu:
Konverze z listinné do elektronické podoby – listina, kterou chce zákazník konvertovat, je převedena a výstup předán buď na nosiči CD/DVD, nebo je zaslán do tzv. Úschovny. Z tohoto úloţiště si jej můţe zákazník kdykoliv vyzvednout.
Konverze z elektronické do listinné podoby – elektronický dokument je moţno převést do listinné podoby z nosiče CD/DVD, nebo také z Úschovny. V tomto případě jej musí zákazník do Úschovny zaslat z datové schránky a přinést s sebou potvrzení o vloţení dokumentu pro potřeby konverze, obsahující jeho jednoznačnou identifikaci.
Uvedený postup konverze tak zrovnoprávňuje elektronické i papírové formy dokumentů. Je ovšem nutné dodat, ţe dokument podepsaný elektronickým podpisem je platný nejvýše jeden rok. Důvodem je omezení certifikátu, na kterém je elektronický podpis zaloţen. Pomocí Časového razítka21 můţe být platnost prodlouţena aţ na pět let. Autorizovaná konverze je určena, jak uvádí agentura CzechPOINT22, pro širokou veřejnost ke konverzi nejrůznějších dokumentů a jde o konverzi na ţádost, nebo pro konverzi dokumentů ve vlastnictví úřadů pro jejich vnitřní potřeby, přičemţ se jedná o konverzi z moci úřední. V rámci konverze je nutné uvést, ţe zákon č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů jasně definuje i ty dokumenty, které se konvertovat nesmějí. Podle agentury CzechPOINT23 se jedná zejména o dokumenty, které jsou jedinečné a nelze je konverzí nahradit. Uvést lze například občanský průkaz, řidičský průkaz, zbrojní průkaz, sluţební průkaz, průkaz o povolení k pobytu cizince, cestovní
Autorizovaná
konverze.
20
CZECHPOINT.
21
Časové razítko jednoznačně prokazuje okamţik pouţití elektronického podpisu nebo značky.
(2010).
[online],
[cit.
2012-04-10],
dostupné
na
WWW:
na
WWW:
na
WWW:
. 22
CZECHPOINT.
(2010).
Autorizovaná
konverze.
[online],
[cit.
2012-04-10],
dostupné
. 23
CZECHPOINT.
(2010).
Autorizovaná
konverze.
[online],
.
13
[cit.
2012-04-10],
dostupné
doklad, vojenskou kníţku, rybářský lístek, lovecký lístek, vkladní kníţku, šek, směnku, cenný papír, los, sázenku, geometrický plán, technické kresby atd.
2.4 Požadavky na zaměstnance v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty Při hodnocení úniků, nebo zneuţití dat, se často ukazuje, ţe nejslabším článkem v systému je lidský faktor, tedy vlastní zaměstnanci podniku. Podle Ministra se odhaduje, ţe „až 80% případů porušení ochrany informací je způsobeno interními zaměstnanci.“24 Toto riziko má narůstající tendenci se zvyšováním pravomocí zaměstnanců podniku. Z hlediska bezpečnosti a nakládání s daty a elektronickými dokumenty v podniku je důleţité jiţ samotné řízení přístupu k informacím, kdy podle Mlýnka25 by zde měla být stanovena především:
pravidla postupu při přidělování a odebírání uţivatelských přístupů,
podmínky přístupu (např. stanovení podmínek pro uţivatelská hesla – především délka hesel a pouţívání speciálních znaků, ale také i povinné změny hesel atd.),
určení odpovědností jednotlivých uţivatelů (např. za správu svých hesel, povinnost odhlásit se z aplikací a informačního systému při opuštění pracoviště apod.),
určení podmínek přístupu u přenosných zařízení, jako jsou notebooky a chytré telefony,
určení podmínek vzdáleného přístupu do informačního systému.
Z uvedeného je zřejmé, ţe je zapotřebí, aby aktivity v oblasti bezpečnosti ochrany dat byly centrálně řízeny a byli za ně odpovědní konkrétní zaměstnanci. Jinak lze ale konstatovat, ţe obecně jsou povinnosti všech zaměstnanců, tedy i zaměstnanců při nakládání s daty a dokumenty, řešeny v §301, zák. č. 262/2006 Sb., zákoníku práce. Bliţší konkretizaci přitom můţe obsahovat pracovní řád daného podniku, nebo individuální smlouva uzavíraní mezi zaměstnavatelem a zaměstnancem. V ustanovení
24
MINISTR, J. (2011). Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, str. 28.
25
MLÝNEK, J. (2007). Zabezpečení obchodních informací, 1. vyd. Brno: Computer Press, str. 65.
14
§301 písm. d) zákoníku práce je pak uvedeno, ţe zaměstnanci jsou povinni „řádně hospodařit s prostředky svěřenými jim zaměstnavatelem a střežit a ochraňovat majetek před poškozením, ztrátou, zničením či zneužitím a také nejednat v rozporu s oprávněnými zájmy zaměstnavatele.“26 Určitým rozvedením této obecně formulované povinnosti je také „zvláštní preventivní povinnost zaměstnance předcházet hrozícím škodám podle §249. Její nesplnění je sankcionováno zvláštním druhem odpovědnosti za škodu podle §251.“27 Přesto v mnoha organizacích dochází k narušování bezpečnosti při nakládání s daty a elektronickými dokumenty. Například Mlýnek28 za nejčastější nedostatky v organizaci a řízení bezpečnosti povaţuje, jiţ ve fázi přípravy a implementace, špatnou nebo pouze formální podporu informační bezpečnosti ze strany managementu (například schvalování bezpečnostních předpisů je bráno za formalitu, samotná realizace není podporována a kontrola dodrţování není stanovena), řešení informační bezpečnosti není komplexní, nebo neexistují některé bezpečnostní role potřebné k vybudování zabezpečeného informačního systému. Dále uvádí Mlýnek29 následující nedostatky:
vymezení pravomocí a povinností pracovníků v oblasti bezpečnosti IS není jasné, pravomoci některých vedoucích pracovníků se překrývají,
neexistuje klasifikace informací ve společnosti,
pravidla, jak s informacemi jednotlivých tříd nakládat, nejsou stanovena,
analýza rizik není prováděna pravidelně,
audit
informačního
systému,
vztahující
se
na
dodrţování
platných
bezpečnostních předpisů, není prováděn dostatečně,
ačkoliv jsou monitorovány aktivity uţivatelů informačního systému a jsou o tom pořizovány záznamy, nejsou tyto záznamy průběţně vyhodnocovány, případně jsou vyuţity pouze pro případ potřeby dohledání určité aktivity.
26
BUSINESS.CENTER.CZ.
(2011).
Zákoník
práce.
[online],
[cit.
2012-04-10],
. 27
BĚLINA, M. a kol. (2008). Zákoník práce. Komentář, 1. vyd. Praha: C. H. Beck, str. 728.
28
MLÝNEK, J. (2007). Zabezpečení obchodních informací, 1. vyd. Brno: Computer Press, str. 48.
29
MLÝNEK, J. (2007). Zabezpečení obchodních informací, 1. vyd. Brno: Computer Press, str. 48.
15
dostupné
na
WWW:
Mezi další nedostatky v oblasti řízení bezpečnosti je uváděno např. špatné bezpečnostní povědomí zaměstnanců podniku, nedostatečné bezpečnostní prověrky uchazečů na pozice vyţadující vyšší úrovně spolehlivosti a důvěryhodnosti, postihy za porušování bezpečnostních předpisů zaměstnanci nejsou stanoveny nebo nejsou vymáhány, ţádné nebo nevhodné řešení bezpečnosti v souvislosti s outsourcingem, vnitřní bezpečnostní předpisy nejsou komplexní a aktuální. Z toho pak vyplývají poţadavky na zaměstnance v rámci bezpečnosti při nakládání s daty, které lze specifikovat následujícím způsobem:
dobrá znalost práce s počítačem,
všeobecný přehled v oblasti IT,
naplnění poţadavků kladených na danou pozici a pracovní náplň (vycházející z procesního modelu),
znalost firemního cíle a vize,
samostatnost a odpovědnost,
zájem učit se.
2.5 Právní zabezpečení ochrany dat V České republice dosud neexistuje jednotná právní úprava, která by komplexně řešila bezpečnost a nakládání s daty a elektronickými dokumenty v podniku. Pokud vezmeme například pro podniky důleţitý zákon č. 513/1991 Sb., obchodní zákoník, zde se v §17 uvádí, ţe „obchodní tajemství tvoří veškeré skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu, nejsou v příslušných obchodních kruzích běžně dostupné, mají být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťuje.“30 Další důleţitý zákon ve vztahu k bezpečnosti a nakládání s daty je zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů. Zákon, jak vyplývá z jeho názvu, se zabývá podmínkami zpracování osobních údajů.
30
BUSINESS.CENTER.CZ.
(2010).
Obchodní
zákoník.
[online],
.
16
[cit.
2012-04-10],
dostupné
na
WWW:
Dalším ze zákonů je zákon č. 227/2000 Sb., o elektronickém podpisu, včetně novely č. 101/2010 Sb., přičemţ elektronický podpis podle Mlýnka31 zajišťuje:
integritu
doručovaného
souboru
(neporušenost
obsahu
podepsaného
dokumentu),
identifikaci subjektu, který dokument podepsal,
nepopiratelnost původu souboru (autor podpisu nemůţe svůj elektronický podpis popřít),
právní akceptovatelnost elektronicky podepsaného dokumentu.
Problematiku zabezpečení informací řeší zákon č. 148/1998 Sb., o ochraně utajovaných skutečností, ve znění zákona č. 413/2005 Sb., přičemţ zákon je doplněn několika vyhláškami, které řeší komplexně existenci právě utajovaných skutečností. Další právní předpisy, jako zákony, vyhlášky, směrnice EU a normy, které se vztahují k této problematice, jsou uvedeny v příloze 1. V rámci zabezpečení dat a elektronických dokumentů, tedy veškerých elektronických informací, si je ale potřeba uvědomit, ţe součástí kaţdého podniku je mnoho různých specifik, na která je nutno pamatovat. Proto se nelze spoléhat pouze na uvedený výčet norem, zákonů a nařízení, ale je potřeba téţ vycházet z místní problematiky informační bezpečnosti. Některá rizika také nelze odstranit zcela, je ale potřeba je minimalizovat na pokud moţno co nejniţší úroveň. Některá rizika také můţe společnost akceptovat a nemusí proti nim přijímat ţádná opatření. Je to zejména v těch případech, kdy by náklady na aplikovaná opatření převýšily moţné negativní dopady v případě uskutečnění tohoto rizika a zároveň se nejedná o data nebo informace, která je nutno chránit podle zákona. Podle Mlýnka32 oblast informační bezpečnosti také „nelze chápat odděleně od ostatních činností a aktivit firmy jako specializovanou činnost. Nezbytným předpokladem existence funkčního a zabezpečeného informačního systému je to, aby se na dosažení tohoto stavu podílely všechny obchodní a organizační složky firmy a všichni její zaměstnanci.“ 31
MLÝNEK, J. (2007). Zabezpečení obchodních informací, 1. vyd. Brno: Computer Press, str. 126.
32
MLÝNEK, J. (2007). Zabezpečení obchodních informací. 1. vyd. Brno: Computer Press, str. 132.
17
3 Praktická část práce 3.1 Základní údaje o podniku Společnost Alsig spol. s r. o. (dále jen Alsig), IČO 15271137, která je předmětem praktické části této práce, má sídlo na adrese Praha 5, Holečkova 31, PSČ 150 00. Tato společnost vznikla v roce 1991. Jedná se o společnost s ručením omezeným se základním kapitálem 100.000 Kč. Dále společnost Alsig zaloţila v roce 2004 odštěpný závod v Brně, se sídlem na adrese Brno, Olomoucká 1158/164a, okres Brno-město, PSČ 618 00. Další údaje obchodního charakteru jsou uvedeny ve výpisu z obchodního rejstříku, který je přiloţen v příloze 2. V současné době jsou předmětem podnikání následující činnosti:
zřizování poplašných zařízení
výroba, montáţ a opravy výrobků a zařízení spotřební elektroniky
montáţ, opravy, údrţba a revize vyhrazených elektrický zařízení a výroba rozvaděčů nízkého napětí
projektování elektrických zařízení
montáţ elektronických poţárních systémů
koupě zboţí za účelem jeho dalšího prodeje
Webová prezentace společnosti je na adrese Obrázek 5 Logo společnosti
Zdroj: ALSIG. Alsig [online]. [cit. 2012-04-10]. Dostupné z WWW: .
18
„Naším cílem je spokojený zákazník, který investoval do maximálně efektivního, funkčního a kvalitního díla.“33 Společnost měla ke konci roku 2011 celkem 41 zaměstnanců, z toho jsou tři ve vedení společnosti. Za rok 2010 dosáhla společnost výnosů ve výši 43.536 tis. Kč, coţ bylo o 7876 tis. méně neţ za rok 2009. Vývoj výnosů za roky je uveden v tabulce č. 1. Tabulka 1 Výnosy společnosti z běţné činnosti (v tis. Kč)
Rok
2007
2008
2009
2010
Tržby z prodeje výrobků a služeb
55838
48137
51412
43536
Zdroj: Vlastní zpracování podle Alsig, výkaz zisku a ztrát za roky 2007-2010. [online], [cit. 2012-04-10], dostupné na WWW: .
Dobré hospodaření společnosti ukazuje nejlépe hospodářský výsledek za roky 20072010, který byl v kaţdém ze sledovaných období kladný, ačkoliv trţby ani výsledek hospodaření před zdaněním nevykazuje pokaţdé rostoucí tendenci. Přesto to lze vzhledem k ekonomické krizi povaţovat za úspěch. Hospodářský výsledek před zdaněním za roky 2007-2010 ukazuje tabulka č. 2. Tabulka 2 Výsledek hospodaření před zdaněním (v tis. Kč)
Rok
2007
2008
2009
2010
Hospodářský výsledek před zdaněním
3127
2800
1763
221
Zdroj: Vlastní zpracování podle Alsig, výkaz zisku a ztrát za roky 2007-2010. [online], [cit. 2012-04-10], dostupné na WWW: .
33
Alsig (2012). Řešení. [online], [cit. 2012-04-10], dostupné na WWW: .
19
3.1.1 Organizační struktura společnosti V současné době má společnost Alsig sídlo a hlavní provozovnu v Praze, kde je soustředěno kromě servisního a montáţního oddělení také vedení společnosti a projekční oddělení. V odštěpném závodě v Brně je prováděna pouze servisní a montáţní činnost. Organizační struktura společnosti je znázorněna na obrázku č. 6. Obrázek 6 Organizační struktura podniku
vedení společnosti
personální a ekonomické oddělení
projekční oddělení
servisní odddělení
vedoucí odštěpného závodu
montážní oddělení
personální a ekonomické oddělení
servisní a montážní oddělení
Zdroj: Vlastní zpracování na základě údajů a informací společnosti Alsig
3.1.2 Zákazníci společnosti Vzhledem k charakteru nabízených sluţeb, získaným certifikátům v oblasti zabezpečení včetně prověření od Národního bezpečnostního úřadu a dobrému jménu, se mezi zákazníky řadí:
bankovní
sektor
–
Česká
spořitelna,
a.s.,
Česká
pojišťovna,
a.s.,
Československá obchodní banka, a.s., Komerční banka, a.s., GE Money bank, a.s., Kooperativa pojišťovna, a.s., Raiffeisenbank, a.s.,
20
dopravní sektor – Dopravní podnik hl. m. Prahy, a. s., Letiště Praha, a.s. České dráhy, a.s.,
státní sektor – Armáda České republiky, Policie České republiky, Ministerstvo vnitra České republiky, Správa státních hmotných rezerv, 24. základna dopravního letectva Praha – Kbely,
kulturní sektor – Národní technické muzeum v Praze, Náprstkovo muzeum asijských, afrických a amerických kultur, Arcibiskupství praţské.
Mezi další významné zákazníky se řadí VŠE v Praze, Mezinárodní škola Nebušice, řetězce supermarketů Ahold, Interspar a Kaufland. V neposlední řadě je to mnoho dalších subjektů, včetně fyzických osob.
3.2 Analýza současného stavu zabezpečení nakládání s daty a elektronickými dokumenty Pro provedení analýzy současného stavu bude zjištěno, s jakými daty a dokumenty společnost pracuje, jak je nakládání s nimi zabezpečeno a jakým způsobem jsou rozděleny kompetence a odpovědnosti. Dále budou zjištěna rizika při nakládání s daty a dokumenty a pomocí SWOT analýzy budou identifikovány silné a slabé stránky, příleţitosti a hrozby. Výše uvedené postupy budou rozděleny do jednotlivých podkapitol.
3.2.1 Zabezpečení nakládání s daty a elektronickými dokumenty Informace, které jsou ve společnosti Alsig zpracovávány, jsou rozděleny do následujících dvou kategorií:
komerční informace – informace obchodního charakteru a technického charakteru, zákaznická data atd.,
ostatní informace – informace, které jsou chráněny zákonem o ochraně osobních údajů (personální informace), podniková data atd.
Komerční informace představují ty informace, které mají určitou trţní hodnotu, týkají se hlavní činnosti firmy, nebo jsou chráněné autorskými právy. Komerční informace jsou
21
tedy ty, které souvisí s financováním a řízením podniku, s jeho dalším rozvojem a také s pouţívanými technologiemi, včetně dat zákazníků. Nutnost ochrany dat a informací tohoto charakteru tedy spočívá zejména s jejich nelegálním získáním konkurencí, čímţ by získala značnou výhodu. Jedním z největších rizik pro komerční informace jsou zaměstnanci podniku, a to jak stávající, tak i bývalí. Bezpečnost informací je také v tomto případě ohroţena i moţnými potenciálními narušiteli podnikových prostor, kteří by mohli získané informace nebo data zneuţít pro vlastní obohacení. Mezi ostatní informace patří ve společnosti Alsig především personální a manaţerské informace a má k nim přístup pouze management. V tištěné podobě jsou tyto informace uloţeny v uzamčených prostorech, do kterých mají přístup pouze vybraní zaměstnanci. Data a informace o zaměstnancích společnosti, která jsou chráněna zákonem na ochranu osobních údajů, jsou ale také vyuţívána i personálním a mzdovým oddělením v systémech osobní a mzdové agendy. Z výše uvedeného textu je zřejmé, ţe informační potřeby se liší především podle pracovního zařazení konkrétního zaměstnance. Například management společnosti pouţívá zejména podniková data a komerční informace, zatímco technici společnosti pouţívají data zákazníků a technologická data. Klíčovými uţivateli chráněných dat jsou tedy nejen pracovníci na manaţerských pozicích, ale také pracovníci na pozicích technických. V rámci provedené analýzy byly identifikovány následující chráněné zdroje informací:
Internet – klasické internetové připojení, přístup k němu mají všichni zaměstnanci.
Intranet – firemní intranet, kde jsou zveřejňovány informace týkající se chodu společnosti, aktuálních zaměstnaneckých výhod i technických novinek z oboru slaboproudu, přístup k němu mají všichni zaměstnanci.
Sdílené disky – na podnikovém serveru jsou umístěny oddělené disky, které obsahují podniková data s přístupem pouze pro management společnosti, a data technického zaměření (technická dokumentace, nastavení atd.) s přístupem pouze pro technické zaměstnance. Přístup k těmto diskům je moţný pouze z vnitřní sítě a ze zařízení autorizovaných podnikovým správcem ICT techniky.
22
Dokumenty v tištěné podobě – originály dokumentů a technické dokumentace, které jsou uloţeny v zabezpečeném archivu.
Technickou zprávu všech systémů zajišťuje podnikový správce ICT a je za ni odpovědný. Správce ICT zajišťuje také konverze dokumentů a jejich zpřístupnění v úloţišti oprávněným uţivatelům a to tak, aby byly dostupné vţdy nejpozději od data svojí účinnosti. Současně je třeba dodat, ţe kaţdá z informací podléhající utajení je ve společnosti vţdy nezaměnitelně a viditelně označena příslušným stupněm utajení nebo zabezpečení a kaţdé její předání musí být zaznamenáno v příslušné knize. Utajované informace je následně moţno zpracovávat pouze na počítačích uţivatelů s příslušným oprávněním s takovými informacemi nakládat. Dále je pak moţné utajované informace ukládat pouze na CD nebo DVD média, která slouţí ke konečnému uloţení v trezorovém zařízení vyhrazenému k tomuto účelu. Komunikace ve společnosti Alsig probíhá v rámci oddělení formou pravidelných porad, na kterých se hodnotí nejen výsledky, ale i moţné problémy a z nich vyplývající nové úkoly a opatření. Dále se ve společnosti vyuţívá emailové korespondence a to jak v rámci jednotlivých provozoven, tak i mezi nimi. Jak ale bylo při analýze zjištěno, interní komunikace ve společnosti není zcela efektivní a poskytuje poměrně velký prostor pro zlepšení současné situace, především v oblasti zabezpečení přenášení některých dat, byť se nejedná o data utajovaná. Z hlediska zabezpečení dat je důleţité, ţe v podnikovém „Provozním řádu ICT techniky“ je uvedeno, ţe kaţdý uţivatel odpovídá za dodrţení stanovených předpisů o ochraně údajů, nesmí sdělit uţivatelské heslo třetí osobě a nesmí poskytnout třetím osobám ani jakékoliv klíče nebo jiné přístupové informace či technické prostředky, které slouţí k zajištění bezpečnosti při nakládání s daty a elektronickými dokumenty ve společnosti. Také v dalších interních předpisech společnosti Alsig jsou uvedeny následující povinnosti jednotlivých zaměstnanců, které souvisejí s bezpečností a nakládání s daty a elektronickými dokumenty:
při zpracovávání informací pomocí výpočetní techniky musí být především zabezpečena ochrana všech dat uloţených na pevném disku počítače, přičemţ se zde uplatňuje vţdy ochrana heslem a stanovením rozsahu jednotlivých
23
přístupových oprávnění v souladu s pracovní náplní toho konkrétního zaměstnance. Dále platí pravidlo, ţe pokud má uţivatel oprávnění vkládat či měnit data uloţená v systému, musí být zajištěna jeho jednoznačná identifikace při jeho přístupu k datům,
rozsah přístupu k datům a informacím a oprávnění k jejich vyuţívání, včetně změn, vkládání nebo případného vymazání dat, musí odpovídat obsahu pracovních povinností, které má zaměstnanec podle jeho pracovního zařazení,
za určení rozsahu přístupových práv kaţdému zaměstnanci jako uţivateli ICT techniky a informačního systému ve společnosti Alsig odpovídají jednotliví vedoucí oddělení,
za samotné nastavení rozsahu přidělených přístupových práv kaţdému zaměstnanci odpovídá podnikový správce ICT,
pro zálohování dat a archivaci vedených pomocí výpočetní techniky platí zvláštní předpis, přičemţ ta data, která se nearchivují, musí být neustále a bezpečně zálohována do té doby, neţ dojde podle příslušného právního předpisu k jejich skartaci.
Vzhledem k zaměření společnosti na poskytování komplexních sluţeb v oblasti slaboproudých systémů, a to zejména na elektronickou ochranu budov proti vloupání (EZS), poţární signalizaci (EPS), elektronickou kontrolu vstupu (EKV) a kamerové systémy (CCTV), je do bezpečnosti zahrnuta i ochrana a ostraha všech prostor, které společnost při své činnosti pouţívá. Tyto prostory jsou chráněny elektronickým zabezpečovacím systémem připojeným na pult centrální ochrany. Vstup do objektů společnosti je upraven návštěvním řádem a je povolen pouze oprávněným osobám. Dále také platí, ţe kaţdá poučená osoba, která manipuluje s utajovanými informacemi v některém z objektů, sama ručí za to, ţe v průběhu této manipulace nedojde k poškození, zničení, ztrátě, zneuţití nebo vyzrazení těchto informací. Určité naplnění rizika při nakládání s daty a elektronickými dokumenty je částečně minimalizováno dlouholetou praxí těchto poučených osob. Riziko vyzrazení nebo zneuţití utajovaných informací poučenými osobami však není moţné zcela vyloučit.
24
3.2.2 Riziko zneuţití dat Vzhledem k zaměření společnosti na elektronické zabezpečení objektů je po všech zaměstnancích vyţadováno, aby byli trestně bezúhonní. Záznam v trestním rejstříku uchazeče o zaměstnání v podniku je významným hlediskem při rozhodování o přijetí. Předloţení výpisu z trestního rejstříku je následovně vyţadováno kaţdé 3 roky. Dále je většina zaměstnanců společnosti Alsig, vzhledem k povaze jejich činnosti, prověřena Národním bezpečnostním úřadem (dále jen NBÚ). Ostatní zaměstnanci, kteří nemají prověrku od NBÚ, nepřicházejí do styku s utajovanými skutečnostmi. Za problémovou oblast lze povaţovat přenášení dat, ať uţ na přenosných discích, nebo přenosných počítačích. Zcela zamezit ztrátě nebo vyzrazení takto přenášených dat není moţné, jako zvýšené bezpečnostní opatření je pouţíváno šifrování dat na přenosných discích a kombinovaný přístup pomocí hesla a klíče, popřípadě otisku prstů na přenosných počítačích. Tím je výrazně omezeno vyzrazení dat při jejich případné ztrátě. Současně je ale nutné pravidelně kontrolovat, zda jsou takováto opatření dodrţována, včetně ukládání sankcí za jejich případné porušení. Další problémovou oblastí se také jeví nízké ohodnocení běţných montáţních pracovníků, které můţe přinášet určitá rizika spojená s vynášením informací a jejich sdělování konkurenci, zejména po ukončení pracovního poměru. Míry rizik, podle kterých jsou ve společnosti Alsig přijímána opatření pro jejich minimalizaci, jsou následující:
Malé riziko – pouţitá opatření jsou dostatečně účinná pro jednotlivé oblasti při nakládání s daty a elektronickými dokumenty, není potřeba přijímat další opatření ani měnit stávající. Bezpečnost dat a elektronických dokumentů je vysoká.
Střední riziko – pouţitá opatření jsou účinná jen částečně, nebo nejsou dodrţována. Bezpečnost dat a elektronických dokumentů je niţší a je potřeba uplatnit dodrţování opatření a případně přijmout některá další opatření.
25
Velké riziko – pouţitá opatření jsou neúčinná a hrozí ztráta dat a elektronických dokumentů při nakládání či manipulaci s nimi. Je nutno neprodleně přijmout opatření ke sníţení rizika ztráty dat a elektronických dokumentů.
Vyhodnocení míry rizik je uvedeno v tabulce č. 3. Tabulka 3 Vyhodnocení míry rizik společnosti Alsig
Míra rizika
Riziko Manipulace s dokumenty neoprávněnými osobami Vyzrazení informací poučenými osobami Vyzrazení informací odposlechem nebo jiné techniky Ztráta nebo poškození dat na přenosných discích
malá střední malá střední
Vyzrazení dat z přenosných disků
malá
Ztráta nebo vyzrazení dat z informačního systému
malá
Poškození nebo zničení dat ţivelní pohromou
malá
Poškození nebo zničení dat technologickou havárií
malá
Poškození nebo zničení dat vloupáním do objektů
malá
Celková míra rizika
malá
Zdroj: Vlastní zpracování na základě informací společnosti Alsig
Přes uvedené problémy lze povaţovat míru rizik, jak vyplývá z tabulky č. 3, ve společnosti Alsig za poměrně malou. Bylo by však vhodné, aby na základě implementace navrţených opatření pro zlepšení stávající situace následovalo ověření, zda byla v rámci eliminace bezpečnostních rizik ve společnosti věnována ze strany vedení společnosti a odpovědných vedoucích pracovníků zvýšená pozornost. Současně je třeba připomenout, ţe i přes to, ţe školení a vzdělávání zaměstnanců v oblasti bezpečnosti informací není v ţádné zákonné normě vyţadováno, je potřeba se této záleţitosti věnovat důkladněji.
26
3.2.3 SWOT analýza Získané zásadní poznatky lze sumarizovat v souhrnu, který představují čtyři klíčové body, známé pod pojmem SWOT analýza. Samotný název SWOT přitom představuje počáteční písmena příslušných anglických termínů STRENGHTS (silné stránky), WEAKNESSES (slabé stránky), OPPORTUNITES (příleţitosti) a THREADS (hrozby). Jednotlivé klíčové body SWOT analýzy jsou zpracovány v tabulce č. 4. Tabulka 4 SWOT analýza
SILNÉ STRÁNKY
SLABÉ STRÁNKY
Dlouholeté zkušenosti managementu
Průměrná úroveň vzdělávání zaměstnanců
společnosti v oblasti bezpečnosti dat.
na nejniţších pozicích v oblasti
Členství v Asociaci technických
bezpečnosti a nakládání s daty a
bezpečnostních sluţeb umoţňuje vyuţití
elektronickými dokumenty.
zkušeností ostatních členů v oblasti
Výše finančních zdrojů na investice
bezpečnosti a nakládání s daty a
v oblasti bezpečnosti dat je v posledních
elektronickými dokumenty.
letech sniţována. Společnost nemá vypracovanou bezpečnostní politiku.
PŘÍLEŽITOSTI
HROZBY
Zlepšení úrovně bezpečnosti a nakládání
Není závazně stanoveno zálohování
s daty a elektronickými dokumenty
některých počítačů, ani osoby odpovědné
cíleným vzděláváním zaměstnanců.
za zálohování.
Vyuţití operačního programu EU pro
Není stanovena povinnost pravidelné
rychlejší obnovu informačních
změny hesel v některých systémech a
technologií.
počítačích.
Zdroj: Vlastní zpracování na základě informací společnosti Alsig
Jak je z výše uvedené tabulky patrné, za nejdůleţitější silnou stránku společnosti Alsig, je moţné v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty
27
povaţovat zkušenost managementu společnosti v této oblasti. Další silnou stránkou je také členství v Asociaci technických bezpečnostních sluţeb Grémium alarm, kdy je moţné vyuţít jak aktuálních informací poskytovaných přímo Asociací, tak i bohatých zkušeností v oblasti bezpečnosti od ostatních členů. Naopak za nejdůleţitější slabou stránku lze povaţovat pouze průměrnou úroveň vzdělávání zaměstnanců na nejniţších pozicích v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty. Dále můţe být v budoucnu problémem sniţování finančních prostředků, investovaných do oblasti bezpečnosti dat. V neposlední řadě není zpracována bezpečnostní politika a následně nejsou správně definovány zásady zabezpečení. V případě příleţitostí by bylo vhodné na základě auditu posoudit charakteristiky osobnostního a pracovního profilu všech zaměstnanců se zaměřením na zvládnutí nových postupů a také na připravenost zaměstnanců k těmto změnám. Zjištěné potřeby a nedostatky poté řešit cíleným vzděláváním a rozvojem pracovníků v poţadovaných směrech. V posledním bodě SWOT analýzy zjištěné hrozby je nutné eliminovat závazným nařízením jak v oblasti zálohování dat, tak i v oblasti pravidelné změny hesel ve všech počítačích, zejména přenosných a to včetně kontroly dodrţování tohoto nařízení.
3.3 Diskuze a návrh opatření na zlepšení současného stavu Jak bylo zjištěno při analýze současného stavu nakládání s daty a elektronickými dokumenty ve společnosti Alsig, předmětem podnikání této společnosti jsou sluţby zejména v oblasti zabezpečení objektů elektronickými systémy, které si bezpochyby vyţaduje velmi vysokou míru bezpečnosti při nakládání nejen s podnikovými daty a elektronickými dokumenty, ale také s daty komerčními a technickými. Toto je podtrţeno zaměřením významné části poskytováním sluţeb pro státní instituce a bankovní sektor, coţ vede mimo jiné k povinnosti přísného zabezpečení a ochraně všech objektů společnosti. Je proto dobře, ţe stále kladné výsledky hospodaření společnosti umoţňují zajišťovat celkovou informační bezpečnost na vysoké úrovni.
28
Přesto provedená analýza bezpečnosti a nakládání s daty a elektronickými dokumenty prokázala některé nedostatky, které by mohly negativním způsobem ovlivnit informační bezpečnost v budoucnu. Jak bylo zjištěno, ve společnosti se zpracovávají informace dvou kategorií. V prvním případě se jedná o informace obchodního a technologického charakteru, které lze označit jako komerční. Dále se jedná o ostatní informace, například podniková data či personální informace, které jsou chráněny zákonem o ochraně osobních údajů. Protoţe značným rizikem pro společnost Alsig je ztráta nebo zničení některých komerčních informací (např. aktuální dokumentace či nastavení zákaznických systémů), je důleţitou součástí bezpečnosti při nakládání s daty a elektronickými dokumenty i ostraha nejen jednotlivých objektů, ale i celé společnosti jako takové. Poměrně vysokým rizikem pro komerční informace jsou také bývalí, ale i stávající zaměstnanci, kteří by mohli získaná data zneuţít k vlastnímu obohacení. Z provedené analýzy se dále ukázalo, ţe uţivateli chráněných dat jsou pracovníci na manaţerských i technických pozicích, ale také to, ţe chráněnými zdroji těchto dat a informací jsou Internet, Intranet a sdílené disky. Technickou správu a podporu všech počítačových systémů zajišťuje a je za ni odpovědný pracovník na pozici podnikový správce ICT, který také zajišťuje konverzi dokumentů včetně jejich uloţení a zpřístupnění oprávněným uţivatelům a to tak, aby byly v systému dostupné vţdy nejpozději od data své účinnosti. Toto vše lze povaţovat z pohledu bezpečnosti a nakládání s daty a elektronickými dokumenty za velmi důleţité. Základní opatření a nařízení ve směru informační bezpečnosti jsou uvedeny v Provozním řádu ICT techniky a v dalších interních předpisech, včetně přístupu k těmto datům, jejich změnám nebo případnému smazání z podnikové databáze. Dále však také z provedené analýzy vyplynulo, ţe současná motivace některých zaměstnanců ve společnosti Alsig je ve směru bezpečnosti a nakládání s daty a elektronickými dokumenty podprůměrná, i kdyţ platové ohodnocení většiny zaměstnanců je nadstandardní. Jak bylo zjištěno, za problémové se jeví platové ohodnocení zaměstnanců na nejniţších technických pozicích, coţ přináší společnosti určitá rizika se ztrátou nebo vynášením zjištěných informací. Za nedostatek je třeba povaţovat i niţší kontrolu a tím i vymahatelnost zavedených opatření v oblasti bezpečnosti dat během jejich přenášení. Provedení vyhodnocení míry rizik proto
29
ukázalo, ţe vyzrazení informací poučenými osobami, ale také ztrátu nebo poškození dat na přenosných discích je nutné povaţovat jako střední. Na základě zjištěných poznatků byla zpracována SWOT analýza, ze které vyplynulo, ţe za nejdůleţitější silnou stránku společnosti lze v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty povaţovat zkušenosti managementu společnosti v této oblasti. Naopak za slabou stránku bylo označeno vzdělávání zaměstnanců na niţších technických pozicích, ale také sniţování finančních prostředků investovaných do oblasti bezpečnosti dat. Zlepšení této situace by bezesporu přineslo vypracování oficiální informační politiky a strategie, coţ by bylo moţné zastřešit informačním centrem, včetně dalšího vzdělávání zaměstnanců společnosti nejen v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty. Dále by bylo vhodné vypracovat bezpečnostní politiku společnosti a následně definovat zásady zabezpečení. Nejtěţším krokem je samotná realizace bezpečnostní politiky. Zatímco přínos bezpečnostní politiky je patrný aţ za relativně dlouhou dobu a pro některé zaměstnance není pozorovatelný nikdy, „otravná“ a „zdrţující“ opatření jsou viditelná ihned a proto je úkol to nelehký. Management organizace proto musí dobře komunikovat se zaměstnanci nutnost těchto opatření. Provedení analýzy umoţnilo vypracovat následující seznam doporučení, která by měla přinést zlepšení současné situace v oblasti bezpečnosti a nakládání s daty a elektronickými dokumenty:
zaměřit se na zvýšení informovanosti a vzdělávání zaměstnanců v oblasti bezpečnosti při nakládání s daty a elektronickými dokumenty,
na podnikovém intranetu vytvořit stránku, která by slouţila jako informační centrum zabývající se touto problematikou, byla by zdrojem informací o bezpečnostních standardech a systémech pouţívaných v podniku,
součástí informačního centra by mělo být i diskusní fórum pro zaměstnance, kde by bylo moţné vyslovit názory a připomínky k této problematice,
v dalším kroku informační centrum vyuţít pro elektronické kurzy a školení z oblasti informační bezpečnosti, jako jeden z nejefektivnějších nástrojů pro zlepšení povědomí zaměstnanců v této oblasti,
30
na základě výsledků analýzy prozkoumat zjištěné nedostatky více do hloubky tak, aby byly více detailně popsány. Cílem je větší konkrétnost navrţených opatření, které jsou zaměřeny na bezpečnost a nakládání s daty a elektronickými dokumenty,
práci vedoucích zaměstnanců dlouhodobě více zacílit na motivaci pracovníků na niţších technických pozicích, na celkovou úroveň komunikace a spolupráci v týmu,
analýzu bezpečnosti při nakládání s daty a elektronickými dokumenty provádět opakovaně ve stanovených intervalech, například jedenkrát za rok, aby bylo moţné ověřit dosaţená zlepšení, případně se více zaměřit na problematické oblasti,
za důleţité je nutno povaţovat i vybavení výpočetní technikou a technikou na zabezpečení dat, kterou bude nutno inovovat. Vzhledem k tomu, ţe jsou investiční prostředky do této oblasti v poslední době sniţovány, bylo by vhodné vypracovat plán obnovy této techniky a finanční náročnost tak rozloţit do delšího časového období,
vypracovat bezpečnostní politiku podniku, která bude definovat jaká data nebo zařízení chránit, jakým způsobem se budou chránit a také proti jakým hrozbám je nutno je chránit. V návaznosti na bezpečnostní politiku je nutno definovat zásady zabezpečení.
Uvedená doporučení jsou krátkodobého i dlouhodobějšího charakteru a měla by společnosti Alsig pomoci zlepšit vlastní bezpečnost při nakládání s daty a elektronickými dokumenty. Nejslabším prvkem bezpečnosti však i nadále zůstává lidský faktor, proto bude nezbytné dlouhodobě věnovat zvýšenou pozornost práci s lidmi.
31
4 Závěr Práce se zabývala bezpečností a nakládání s daty a elektronickými dokumenty ve společnosti Alsig. Na práci bylo moţné dokumentovat, jak s růstem objemu informací a rychlým rozvojem informačních technologií narůstá důleţitost a uplatňování informačního a znalostního managementu v podnikové praxi. Na práci je však také moţné ukázat, jak je fungující informační proces v dnešní době předpokladem ekonomické prosperity podniku. Z práce také dále vyplývá, ţe bezpečnost a nakládání s daty a elektronickými dokumenty je do jisté míry provázána s mnoha dalšími procesy a činnostmi v podniku, především je velice úzce spjata personální, reţimovou a fyzickou bezpečností. Proto je nutné k efektivnímu řízení bezpečnosti při nakládání s daty a elektronickými dokumenty vycházet ze stanovení pozitivních stránek, ale také hrozeb, na jejichţ základě lze vytvářet nová odpovídající opatření. Při tvorbě práce byla zvolena zejména technika obsahové analýzy, jejímţ cílem bylo představit problematiku informační bezpečnosti v podniku, ale také nastínit některé návrhy na zlepšení bezpečnosti při nakládání s daty a elektronickými dokumenty. Přitom provedení uvedené analýzy vyhodnocení současného stavu opatření v oblasti informační bezpečnosti ve společnosti Alsig umoţnilo odhalit některé nedostatky, které v případě jejich odstranění nebo alespoň omezení umoţní zvýšit informační bezpečnost v této společnosti. Jak z práce vyplynulo, odstranění většiny zjištěných nedostatků by nevyţadovalo velké investice, ale zejména změny v některých postupech, procesech a chování zaměstnanců. Jako hlavní zdroj informací pro potřeby analýzy byly vyuţity interní předpisy a směrnice společnosti, výroční zprávy, ale především také dlouholeté zkušenosti autora této práce se všemi bezpečnostními postupy a opatřeními v podniku. Hlavním cílem této práce bylo provedení analýzy přístupu zaměstnanců společnosti Alsig k bezpečnosti a nakládání s daty a elektronickými dokumenty a následné vypracování návrhů na zlepšení současného stavu. Analýza současného stavu ukázala na některé nedostatky v oblasti vzdělávání zaměstnanců, nedostatečné kontrole stanovených opatření a obnovy techniky, potřebné k zajištění bezpečnosti dat a dokumentů. 32
Na základě těchto zjištění byla navrhnuta opatření na zlepšení současného stavu. Jedná se zejména o zlepšení informovanosti a vzdělávání zaměstnanců v oblasti informační bezpečnosti, zvýšení motivace technických pracovníků, vytvoření plánu na obnovu techniky a vypracování bezpečnostní politiky. Dále jsou v teoretické části práce vysvětleny postupy a metody, které se pouţívají při nakládání s daty a dokumenty, je vysvětlena potřeba určité personální politiky v souvislosti s ochranou dat, a v neposlední řadě je také vysvětlen přínos vynaloţených prostředků do oblasti bezpečnosti dat a dokumentů. Na příkladu společnosti Alsig bylo moţné prokázat, ţe největší hrozbou v oblasti úniku nebo ztráty informací představuje vyzrazení informací poučenými osobami, zejména bývalými a podprůměrně ohodnocenými zaměstnanci. Proto je jakékoliv bezpečnostní opatření, které můţe vést ke zvýšení bezpečnosti dat a informací nesmírně důleţité. Velmi důleţité je ovšem také formulování náročných výzev, které posílí zaujetí pro firemní záměry, podpora vůdčích osobností, rozvoj firemní kultury, vize a hodnot. Toto vše napomáhá určitou mírou k posílení bezpečnosti při nakládání s daty a elektronickými dokumenty. Na závěr lze tedy konstatovat, ţe vybraný podnik dodrţuje bezpečnostní standardy a zákonné povinnosti, zabezpečení dat proti zcizení či zneuţití je na velmi dobré úrovni. Tato práce by měla pomoci omezit některá rizika v oblasti bezpečnosti dat a dokumentů nejen managementu společnosti Alsig, ale také ostatním podnikům, které se touto problematikou musí zabývat.
33
Literatura Monografie
BĚLINA, M. Zákoník práce: komentář. 1. vyd. Praha: C. H. Beck, 2008, 1484 s. ISBN 978-807-1796-077. COLLISON, C. Knowledge management: praktický management znalostí z prostředí předních světových učících se organizací. 1. vyd. Brno: Computer Press, 2005, 236 s. ISBN 80-251-0760-4. European Communities. Modelové požadavky na správu elektronických dokumentů. Lucemburk: Kancelář úředních publikací Evropských společenství, 2002, 106 s. ISBN 92-894-1290-9. GÁLA, L., POUR, J. a ŠEDIVÁ, Z. Podniková informatika. 2., přeprac. a aktualiz. vyd. Praha: Grada, 2009, 496 s. Expert (Grada). ISBN 978-80-247-2615-1. MINISTR, J. Informatika. Informační bezpečnost. Karviná: Střední odborná škola ochrany osob a majetku, 2011. 112 s. ISBN neuvedeno. MLÝNEK, J. Zabezpečení obchodních informací. 1. vyd. Brno: Computer Press, 2007, 154 s. ISBN 978-80-251-1511-4. MOLNÁR, Z. Úvod do základů vědecké práce: sylabus pro potřeby semináře doktorandů. Zlín: [s.n.], 2007. 22 s. ISBN neuvedeno. POŢÁR, J. Informační bezpečnost. Plzeň: Aleš Čeněk, 2005, 309 s. ISBN 80-868-98385. VYMĚTAL, J., DIAČIKOVÁ, A. a VÁCHOVÁ, M. Informační a znalostní management v praxi. 1. vyd. Praha: LexisNexis CZ, 2005, 399 s. ISBN 80-869-2001-1. Primární zdroje
ČSN ISO/IEC 17799. Informační technologie. Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, 2005, 76 s.
34
Internetové zdroje
ALSIG. Alsig [online]. 2012 [cit. 2011-04-10], dostupné z WWW: ALSIG. Řešení. [online], 2012 [cit. 2011-04-10], dostupné na WWW: BUSINESS.CENTER.CZ. Obchodní zákoník. [online], 2010 [cit. 2011-04-10], dostupné na WWW: BUSINESS.CENTER.CZ. Zákoník práce. [online], 2011 [cit. 2011-04-10], dostupné na WWW: CZECHPOINT. Autorizovaná konverze. [online], 2010 [cit. 2012-04-10], dostupné na WWW: DOMBROVSKÁ, M., OČKO, P., ZEMAN, P. Informační audit – nástroj znalostního managementu organizace. [online], 2005 [cit. 2012-04-10], dostupné na WWW: IKAROS. Bezpečnost informací. [online], 2006 [cit. 2012-04-10], dostupné na WWW: EJUSTICE. Obchodní rejstřík a Sbírka listin. [online], 2012 [cit. 2012-04-10], dostupné na WWW: PETERKA, J. Autorizovaná konverze dokumentů: padělek už vám nezkonvertují. [online], 2010 [cit. 2012-04-10], dostupné na WWW: PETERKA, J. Jak se měří informační gramotnost? [online], 2005 [cit. 2012-04-10], dostupné na WWW:
35
Přílohy Příloha 1 Právní předpisy související s ochranou dat Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, Zákon č. 499/2004 Sb., o archivnictví a spisové sluţbě a o změně některých zákonů, ve znění pozdějších předpisů, Zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů, Vyhláška č. 496/2004 Sb., o elektronických podatelnách, Vyhláška č. 191/2009 Sb., o podrobnostech výkonu spisové sluţby, Vyhláška č. 193/2001 Sb., o stanovení podrobnosti provádění autorizované konverze dokumentů, Vyhláška č. 194/2009 Sb., o stanovení podrobnosti uţívání informačního systému datových schránek. Směrnice 1991/250/ES, o právní ochraně počítačových programů, Směrnice 1995/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Směrnice 1997/66/ES, o ochraně dat v telekomunikacích, Směrnice 1999/93/ES, o zásadách Společenství pro elektronické podpisy, Směrnice 2000/31/ES, o určitých aspektech sluţeb informační bezpečnosti, zejména elektronického obchodního styku v rámci vnitřního trhu,
Směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v elektronické komunikaci, Směrnice 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním dostupných sluţeb elektronických komunikací nebo veřejných komunikačních sítí a o změně Směrnice 2002/58/ES, Směrnice 2009/136/ES – soubor, kterým se mění směrnice 2002/22/ES, o univerzální sluţbě a právech uţivatelů týkající se sítí a sluţeb elektronických komunikací, Směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v elektronické komunikaci a nařízení ES č. 2006/2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodrţování zákonů na ochranu zájmů spotřebitele, CETS No. 108 – Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat, CETS No. 181 – Dodatkový protokol k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat. Norma ISO/IEC 17799 – jde o klíčovou normu pro zavádění a certifikaci systémů řízení podniku, Norma BS 7799-2 – jde o podrobnější specifikaci normy ISO/IEC 17799, Norma ČSN ISO/IEC 27001 – která stanoví poţadavky na management bezpečnosti tak, aby organizace byla schopna vyhodnocovat rizika a uplatňovat kontrolní a řídící mechanismy, Norma ČSN ISO/IEC 15408 – zde jsou uvedena kritéria pro hodnocení bezpečnosti IT, Norma ČSN ISO/IEC TR 13335 1-4 – jedná se o směrnice pro řízení bezpečnosti IT, Norma ČSN EN 50 132 – zabývá se sledovacími systémy pro pouţití v bezpečnostních aplikacích.
Příloha 2 Údaje o společnosti Alsig Výpis z obchodního rejstříku, vedeného Městským soudem v Praze, oddíl C, vloţka 1096: Datum zápisu: 14. února 1991 Obchodní firma: Alsig, spol. s r.o. Sídlo: Praha 5, Holečkova 31, PSČ 150 00 Identifikační číslo: 152 71 137 Právní forma: Společnost s ručením omezeným Společnost zastupují jednatelé společnosti, kaţdý samostatně tak, ţe k napsanému nebo vytištěnému obchodnímu jménu společnosti připojí svůj podpis. Společníci:
Bohuslav Kočí, dat. nar. 01.03.1953, Praha 7, Tovární 1265/8, PSČ 170 00, vklad: 33 000,- Kč, splaceno: 100 %, obchodní podíl: 33 %
Ivan Hořejší, dat. nar. 6.02.1961, Praha 3, Koněvova 112, PSČ 130 00, vklad: 34 000,- Kč, splaceno: 100 %, obchodní podíl: 34 %
Ing.arch. Milan Maštera, dat. nar. 17.04.1952 Praha 4, Nechvílova 1843, PSČ 140 00, vklad: 33 000,- Kč, splaceno: 100 %, obchodní podíl: 33 %
Základní kapitál: 100 000,- Kč
Ostatní skutečnosti: Odštěpné závody: Označení: ALSIG, spol. s r.o. - hlavní provozovna Sídlo: Praha 3, Na Jarově 4 Vedoucí: Ivan Hořejší, dat. nar. 26.02.1961Praha 3, Koněvova 112, PSČ 130 00 Označení: Alsig, spol. s r.o. - provozovna Brno Sídlo: Brno, Olomoucká 1158/164 a, okres Brno-město, PSČ 618 00 Vedoucí: Ing. Libor Musil, dat. nar. 04.05.1961Brno, Ondřeje Veselého 14
