Hlavní navigace

Proč se zajímat o zákon o ochraně osobních údajů (3): Bezpečnost

17. 7. 2000
Doba čtení: 3 minuty

Sdílet

Vyjma podmínek, určujících povinnosti správce osobních údajů ve vztahu k subjektu údajů, zákon také stanovuje povinnost adekvátně chránit tyto údaje: "před změnou, zničením, ztrátou, neoprávněnými přenosy, neoprávněným zpracováním a jiným znežitím." Otázku, jak toho dosáhnout, si položil Jiří Ludvík.

Vyjma podmínek, určujících povinnosti správce osobních údajů ve vztahu k subjektu údajů, zákon také stanovuje povinnost adekvátně chránit tyto údaje: „před změnou, zničením, ztrátou, neoprávněnými přenosy, neoprávněným zpracováním a jiným znežitím.“ Otázku, jak toho dosáhnout, si položil Jiří Ludvík.

Předtím, než se pokusím na tuto otázku odpovědět, uděláme v dnešním dílu malou odbočku k teorii, popisující proces řešení bezpečnosti.

Přestože bezpečnost bývá často redukována na neschopnost dodavatelů vyrobit bezpečný systém, případně na neschopnost administrátorů dodaný systém nakonfigurovat, jsou tyto otázky asi stejně závažné, jako dobrý software a kvalifikovaní správci při vývoji a řízení informačního systému v kterékoliv organizaci. Jde sice o důležité prvky, ale na druhé straně tvoří jenom část celé problematiky.

Teorie praví, že k řešení bezpečnosti je možné přistupovat třemi základními způsoby, případně jejich vzájemnou kombinací. Jde o řešení aplikující nějaký minimální standard, řešení vycházející z analýzy rizik a řešení neformální. Každý z těchto přístupů má určité výhody, stejně tak jako nevýhody.

Pokud řešení bezpečnosti vychází z minimálního standardu, znamená to, že nějaká autorita, stanovila, že systém musí splňovat takové a takové podmínky, aby bylo možné ho považovat za bezpečný. Musí tedy existovat standard definující, která všechna opatření a kontrolní mechanizmy se v systému musejí nacházet. Při širokém spektru technologií, a rychlosti, kterou se v dnešní době vyvíjí podnikatelské a technologické prostředí, může připadat vytváření nějakých minimálních standardů jako anachronismus. Ale pozor, není tomu tak docela. Informatika zahrnuje víc, než jen technickou infrastrukturu; a organizační zajištění IT se přece jen mění trochu pomaleji než samotné technologie. A pokud se podíváme na samotnou technickou infrastrukturu, zjistíme, že i u různého software je často možné najít společné rysy. A to platí dokonce i pro takový Linux a Windows NT. Výhodou tohoto přístupu je (světe div se) standardizace prostředí, která s sebou přináší nižší náklady na správu a údržbu, a také jednodušší kontrolu. Z těchto důvodů se minimální standardy často využívají ve větších a velkých organizacích. Typickou aplikací minimálního standardu je například povinné použití softwaru s bezpečnostním hodnocením C2 v rámci amerického Ministerstva obrany.

Druhou „teoreticky správnou“ variantou je řešení založené na analýze rizik. Při postupu tímto způsobem neexistuje předpoklad, že systém je bezpečný tehdy, splňuje-li určitá pevně daná kritéria. Kritéria bezpečnosti systému nejsou pevně daná, ale stanovují se až na základě míry rizikovosti systému, jejíž určení je v tomto postupu prvním krokem. Oproti předchozí variantě by tato varianta měla zajišťovat lepší zabezpečení, které přesněji odpovídá riziku v němž se systém nachází. Dá rozum, že server s kritickými daty by měl být lépe zabezpečený, než osobní počítač sekretářky. Bohužel u této varianty vstupuje do hry vysoká složitost reálných systémů, kdy může být často obtížné zjistit, kde systém začíná a kde končí, dále jistý tvůrčí chaos, který zpravidla vládne v útvaru informatiky, a kromě toho nejednoznačný (pokud vůbec nějaký) názor uživatelů na hodnotu dat, která se systému nacházejí. Díky tomu je provedení analýzy rizik, pokud se neanalyzuje opravdu jednoduchém prostředí, velmi obtížný úkol.

Prakticky asi nejpoužívanějším přístupem je neformální řešení, při němž se vychází z toho, co zná správce nebo architekt systému, na jehož znalostech a zkušenostech potom bezpečnost systému stojí a padá. Tento způsob řešení je v praxi nejrozšířenější, ale zároveň nejméně systematický. Na druhou stranu ale nepožaduje obtížnou formalizovanou analýzu, a není vázán standardy, které jsou ze své podstaty nutně jeden krok pozadu za vývojem technologií.

U systémů, které podléhají nějaké formě kontroly, je ale možnost postupovat neformálním způsobem podstatně omezena. Pokud řešíte bezpečnost sami a neexistuje nikdo, kdo by měl toto řešení posuzovat, můžete postupovat jak chcete či jak dokážete. Pokud má ale někdo jiný kontrolovat, jak je systém zabezpečený (a kromě toho má také kontrolovat další desítky či stovky systémů), je nutné v procesu řešení bezpečnosti definovat a dodržovat určitá pravidla. A tím se už ocitáme ve spárech jedné z prvních dvou variant řešení.

BRAND24

Vypadá to tedy, že jen přesvědčení o vlastní vysoké odbornosti asi pro zabezpečení systémů s osobními údaji stačit nebude. Jak dál? Příště se tedy pokusíme doplnit si znalosti o dvou normách, jejichž aplikace v tomto případě přichází v úvahu. Jedním z nich je vyhláška NBÚ č. 56/1999 Sb., která specifikuje požadavky na bezpečnost systémů zpracovávajících utajované informace, a druhým je britský standard BS 7799 pro řízení bezpečnosti informací, který pochází z komerčního prostředí.

Jiří Ludvík

Byl pro vás článek přínosný?

Autor článku

Autor se profesionálně zabývá bezpečností....
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).