Hlavní navigace

Proč se zajímat o zákon o ochraně osobních údajů (3): Bezpečnost

Jiří Ludvík 17. 7. 2000

Vyjma podmínek, určujících povinnosti správce osobních údajů ve vztahu k subjektu údajů, zákon také stanovuje povinnost adekvátně chránit tyto údaje: "před změnou, zničením, ztrátou, neoprávněnými přenosy, neoprávněným zpracováním a jiným znežitím." Otázku, jak toho dosáhnout, si položil Jiří Ludvík.

Vyjma podmínek, určujících povinnosti správce osobních údajů ve vztahu k subjektu údajů, zákon také stanovuje povinnost adekvátně chránit tyto údaje: „před změnou, zničením, ztrátou, neoprávněnými přenosy, neoprávněným zpracováním a jiným znežitím.“ Otázku, jak toho dosáhnout, si položil Jiří Ludvík.

Předtím, než se pokusím na tuto otázku odpovědět, uděláme v dnešním dílu malou odbočku k teorii, popisující proces řešení bezpečnosti.

Přestože bezpečnost bývá často redukována na neschopnost dodavatelů vyrobit bezpečný systém, případně na neschopnost administrátorů dodaný systém nakonfigurovat, jsou tyto otázky asi stejně závažné, jako dobrý software a kvalifikovaní správci při vývoji a řízení informačního systému v kterékoliv organizaci. Jde sice o důležité prvky, ale na druhé straně tvoří jenom část celé problematiky.

Teorie praví, že k řešení bezpečnosti je možné přistupovat třemi základními způsoby, případně jejich vzájemnou kombinací. Jde o řešení aplikující nějaký minimální standard, řešení vycházející z analýzy rizik a řešení neformální. Každý z těchto přístupů má určité výhody, stejně tak jako nevýhody.

Pokud řešení bezpečnosti vychází z minimálního standardu, znamená to, že nějaká autorita, stanovila, že systém musí splňovat takové a takové podmínky, aby bylo možné ho považovat za bezpečný. Musí tedy existovat standard definující, která všechna opatření a kontrolní mechanizmy se v systému musejí nacházet. Při širokém spektru technologií, a rychlosti, kterou se v dnešní době vyvíjí podnikatelské a technologické prostředí, může připadat vytváření nějakých minimálních standardů jako anachronismus. Ale pozor, není tomu tak docela. Informatika zahrnuje víc, než jen technickou infrastrukturu; a organizační zajištění IT se přece jen mění trochu pomaleji než samotné technologie. A pokud se podíváme na samotnou technickou infrastrukturu, zjistíme, že i u různého software je často možné najít společné rysy. A to platí dokonce i pro takový Linux a Windows NT. Výhodou tohoto přístupu je (světe div se) standardizace prostředí, která s sebou přináší nižší náklady na správu a údržbu, a také jednodušší kontrolu. Z těchto důvodů se minimální standardy často využívají ve větších a velkých organizacích. Typickou aplikací minimálního standardu je například povinné použití softwaru s bezpečnostním hodnocením C2 v rámci amerického Ministerstva obrany.

Druhou „teoreticky správnou“ variantou je řešení založené na analýze rizik. Při postupu tímto způsobem neexistuje předpoklad, že systém je bezpečný tehdy, splňuje-li určitá pevně daná kritéria. Kritéria bezpečnosti systému nejsou pevně daná, ale stanovují se až na základě míry rizikovosti systému, jejíž určení je v tomto postupu prvním krokem. Oproti předchozí variantě by tato varianta měla zajišťovat lepší zabezpečení, které přesněji odpovídá riziku v němž se systém nachází. Dá rozum, že server s kritickými daty by měl být lépe zabezpečený, než osobní počítač sekretářky. Bohužel u této varianty vstupuje do hry vysoká složitost reálných systémů, kdy může být často obtížné zjistit, kde systém začíná a kde končí, dále jistý tvůrčí chaos, který zpravidla vládne v útvaru informatiky, a kromě toho nejednoznačný (pokud vůbec nějaký) názor uživatelů na hodnotu dat, která se systému nacházejí. Díky tomu je provedení analýzy rizik, pokud se neanalyzuje opravdu jednoduchém prostředí, velmi obtížný úkol.

Prakticky asi nejpoužívanějším přístupem je neformální řešení, při němž se vychází z toho, co zná správce nebo architekt systému, na jehož znalostech a zkušenostech potom bezpečnost systému stojí a padá. Tento způsob řešení je v praxi nejrozšířenější, ale zároveň nejméně systematický. Na druhou stranu ale nepožaduje obtížnou formalizovanou analýzu, a není vázán standardy, které jsou ze své podstaty nutně jeden krok pozadu za vývojem technologií.

U systémů, které podléhají nějaké formě kontroly, je ale možnost postupovat neformálním způsobem podstatně omezena. Pokud řešíte bezpečnost sami a neexistuje nikdo, kdo by měl toto řešení posuzovat, můžete postupovat jak chcete či jak dokážete. Pokud má ale někdo jiný kontrolovat, jak je systém zabezpečený (a kromě toho má také kontrolovat další desítky či stovky systémů), je nutné v procesu řešení bezpečnosti definovat a dodržovat určitá pravidla. A tím se už ocitáme ve spárech jedné z prvních dvou variant řešení.

Vypadá to tedy, že jen přesvědčení o vlastní vysoké odbornosti asi pro zabezpečení systémů s osobními údaji stačit nebude. Jak dál? Příště se tedy pokusíme doplnit si znalosti o dvou normách, jejichž aplikace v tomto případě přichází v úvahu. Jedním z nich je vyhláška NBÚ č. 56/1999 Sb., která specifikuje požadavky na bezpečnost systémů zpracovávajících utajované informace, a druhým je britský standard BS 7799 pro řízení bezpečnosti informací, který pochází z komerčního prostředí.

Jiří Ludvík

Našli jste v článku chybu?
DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů