Hlavní navigace

Ochrana osobních údajů a la James Bond

Jiří Ludvík 12. 10. 2000

Pro řadu firem a organizací začíná pomalu být aktuální otázka, jak realizovat požadavky zákona o ochraně osobních údajů. Jedním z problémů, které realizaci ztěžují, je neexistence prováděcích vyhlášek, které by upravovaly způsoby zabezpečení těchto dat. Jak jej vyřešit? Je možné se řídit podle normy upravující bezpečnost v systémech pracujících s utajovanými informacemi.

Problémem, který se za poslední roky opakoval u mnoha zákonů, a který se nevyhnul ani zákonu o ochraně osobních údajů, je neexistence vyhlášek, které by zpřesňovaly požadavky zákona a popisovaly prováděcí postupy.

Podle zákona se subjekty zpracovávající osobní údaje musí registrovat na Úřadu pro ochranu osobních údajů do prosince a do června příštího roku mají čas na uvedení svých podnikatelských činností (respektive informačních systémů) do souladu s požadavky zákona a vyhlášek. Zdánlivě je do června ještě dost času. Při současném stavu Úřadu a úkolech jemu přidělených nelze podle mého čekat vyhlášky dříve než v příštím roce. Tím se ovšem časový limit na realizaci zmenšuje na půl roku, což při zvážení pravděpodobného rozsahu nutných změn není vůbec mnoho.

Pro problematiku zajištění bezpečnosti systémů zpracovávající utajované informace, oblasti podobné ochraně osobních údajů, jsou klíčové vyhlášky Národního bezpečnostního úřadu, zejména vyhláška č. 56/1999 Sb. Vyhlášky nejsou po odborné stránce nijak geniální, ale jsou výjimečné tím, že jsou jediným českým zdokumentovaným know-how týkajícím se bezpečnosti, které se nachází ve veřejné správě. Kromě toho se podle nich v praxi pracuje. Jak také naznačuje důvodová zpráva k zákonu o ochraně osobních údajů, představují také první z možných řešení problému bezpečnosti osobních údajů. Jsou ale praktiky popsané v těchto vyhláškách pro ochranu osobních údajů vůbec vhodné? Podívejme se nejprve na to, jak jsou utajované informace chráněny.

Základem ochrany utajovaných informací jsou stupně utajení. Jsou čtyři a zhruba odpovídají důležitosti informací. Obecně platí, že čím utajovanější informace, tím lepší zabezpečení. Předpokladem bezpečnosti samotného systému je to, aby správci systému a uživatelé, kteří s informacemi přicházejí do styku, byli dostatečně důvěryhodní1, a aby systém byl dostatečně chráněn fyzicky2.

Při nejnižším stupni zabezpečení musí být přístup k systému po přihlášení povolen jen pro definované uživatele, musí fungovat mechanismy řízení logického přístupu a činnosti uživatelů v systému v něm musí být zaznamenávány. Pokud je systém připojený k vnějším sítím, musí být toto připojení zabezpečeno firewallem. Data musí být označena stupněm utajení a při přenosu v sítích musí být šifrována. Systém musí být vybaven ochranou proti virům. O bezpečnost systému se stará bezpečnostní správce, který má na starosti hlavně správu účtů a hesel, vyhodnocování auditních záznamů, konfiguraci bezpečnosti a řešení bezpečnostních incidentů. V systému se smí používat jen legální software.

Toto nejsou žádná objevná fakta, čím se ale téměř vždy utajovaný systém od běžného liší i při nejnižší stupni zabezpečení, je jeho dokumentace. Zdokumentováno musí být vše, co se týká bezpečnosti. Dokumentace musí obsahovat analýzu a vyhodnocení rizik, popis zásad, pravidel a konkrétních prostředků, které slouží k prosazení bezpečnosti a popis jejich konfigurace. Musí být popsány testy používané k ověřování toho, že bezpečnost funguje tak, jak má. Mimoto musí být součástí dokumentace bezpečnostní směrnice popisující povinnosti a odpovědnosti všech osob, které mají přístup k systému. Dalším požadovaným dokumentem je havarijní plán popisující minimální požadovanou úroveň funkčnosti systému v případě havárie a způsob, jak bezpečně systém obnovit.

Vyšší než základní úroveň bezpečnosti předpokládá jednak použití systémů bezpečnostní třídy B3 a jednak realizaci dodatečných opatření, která by měla být navržena architektem systému na základě analýzy rizik.

Je možné použít výše popsaný způsob zabezpečení pro ochranu osobních údajů? Má vůbec smysl řídit se vyhláškou, jejíž obdobou se při ochraně svých informací řídí Bondova MI-6? Problém pro použití vyhlášky znamenají hlavně stupně utajení. Utajované informace mohou mít jeden ze čtyř stupňů utajení, kdežto u osobních informací jsou „stupně utajení“ dva – osobní údaje a citlivé osobní údaje, přičemž není jasné, kterým ze čtyř stupňů by tyto dva odpovídaly. Další problém představují požadavky personální bezpečnosti, které v doslovné podobě představují nesmírný zásah do soukromí dotčených osob, který, pokud nejde o státní zájem, nemá zákonné ani morální oprávnění. Z toho vyplývá, že s výjimkou personální bezpečnosti je možné použít jen minimální úroveň zabezpečení (která ovšem představuje zabezpečení lepší než žádné).

Přitom je ale jasné, že ve většině systémů tato minimální úroveň nepředstavuje dostatečnou odpověď na otázku, jak by měl být systém zabezpečený. To vyplývá zejména z celkové filozofie a architektury ochrany, kdy historicky systémy s utajovanými informacemi byly pod centralizovanou správou, přístup k nim byl omezen na uživatele, kteří byli pod bezprostřední kontrolou vlastníka systému a propojení na externí systémy bylo spíš výjimkou než pravidlem. Osobní údaje jsou naopak zpracovávány v prostředí distribuovaných a decentralizovaných komerčních informačních systémů, v nichž se prosazuje otevřenost přístupu uživatelů a vysoká míra propojení systémů je pravidlem spíš než výjimkou. Podle mého tedy jednoznačně lepší řešení bezpečnosti osobních údajů představuje spíše druhá cesta – využití některého ze standardů pro bezpečnost informací pocházející z komerční sféry, příkladem kterého může být například britský standard BS7799.

Našli jste v článku chybu?

17. 10. 2000 17:51

jl (neregistrovaný)
Zakon se vas, jako sevce, tyka. Pokud si ale jako svec vedete evidenci zakazniku, jsou to asi tak maximalne kontaktni udaje, coz jsou "zverejnene udaje", pro ktere spousta (mozna az vetsina) ustanoveni tohoto zakona neplati. Nejpodstatnejsi vyjimkou je, mam pocit, to, ze se nemusite registrovat na Urade pro ochranu osobnich udaju. Pokud chcete vice informaci k aplikaci zakona, je k dispozici na siti, vcetne FAQ k nemu na adrese www.uoou.cz

17. 10. 2000 17:42

jl (neregistrovaný)
Nojo, to je otazka. Kdyz se na druhou stranu pouzije nejaky obecnejsi (misto toho firewallu), tak zase budou mit lidi problemy si predstavit, co to vlastne to "zabezpeceni rozhrani na vnejsi site" znamena.
120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?