Problémem, který se za poslední roky opakoval u mnoha zákonů, a který se nevyhnul ani zákonu o ochraně osobních údajů, je neexistence vyhlášek, které by zpřesňovaly požadavky zákona a popisovaly prováděcí postupy.
Podle zákona se subjekty zpracovávající osobní údaje musí registrovat na Úřadu pro ochranu osobních údajů do prosince a do června příštího roku mají čas na uvedení svých podnikatelských činností (respektive informačních systémů) do souladu s požadavky zákona a vyhlášek. Zdánlivě je do června ještě dost času. Při současném stavu Úřadu a úkolech jemu přidělených nelze podle mého čekat vyhlášky dříve než v příštím roce. Tím se ovšem časový limit na realizaci zmenšuje na půl roku, což při zvážení pravděpodobného rozsahu nutných změn není vůbec mnoho.
Pro problematiku zajištění bezpečnosti systémů zpracovávající utajované informace, oblasti podobné ochraně osobních údajů, jsou klíčové vyhlášky Národního bezpečnostního úřadu, zejména vyhláška č. 56/1999 Sb. Vyhlášky nejsou po odborné stránce nijak geniální, ale jsou výjimečné tím, že jsou jediným českým zdokumentovaným know-how týkajícím se bezpečnosti, které se nachází ve veřejné správě. Kromě toho se podle nich v praxi pracuje. Jak také naznačuje důvodová zpráva k zákonu o ochraně osobních údajů, představují také první z možných řešení problému bezpečnosti osobních údajů. Jsou ale praktiky popsané v těchto vyhláškách pro ochranu osobních údajů vůbec vhodné? Podívejme se nejprve na to, jak jsou utajované informace chráněny.
Základem ochrany utajovaných informací jsou stupně utajení. Jsou čtyři a zhruba odpovídají důležitosti informací. Obecně platí, že čím utajovanější informace, tím lepší zabezpečení. Předpokladem bezpečnosti samotného systému je to, aby správci systému a uživatelé, kteří s informacemi přicházejí do styku, byli dostatečně důvěryhodní1, a aby systém byl dostatečně chráněn fyzicky2.
Při nejnižším stupni zabezpečení musí být přístup k systému po přihlášení povolen jen pro definované uživatele, musí fungovat mechanismy řízení logického přístupu a činnosti uživatelů v systému v něm musí být zaznamenávány. Pokud je systém připojený k vnějším sítím, musí být toto připojení zabezpečeno firewallem. Data musí být označena stupněm utajení a při přenosu v sítích musí být šifrována. Systém musí být vybaven ochranou proti virům. O bezpečnost systému se stará bezpečnostní správce, který má na starosti hlavně správu účtů a hesel, vyhodnocování auditních záznamů, konfiguraci bezpečnosti a řešení bezpečnostních incidentů. V systému se smí používat jen legální software.
Toto nejsou žádná objevná fakta, čím se ale téměř vždy utajovaný systém od běžného liší i při nejnižší stupni zabezpečení, je jeho dokumentace. Zdokumentováno musí být vše, co se týká bezpečnosti. Dokumentace musí obsahovat analýzu a vyhodnocení rizik, popis zásad, pravidel a konkrétních prostředků, které slouží k prosazení bezpečnosti a popis jejich konfigurace. Musí být popsány testy používané k ověřování toho, že bezpečnost funguje tak, jak má. Mimoto musí být součástí dokumentace bezpečnostní směrnice popisující povinnosti a odpovědnosti všech osob, které mají přístup k systému. Dalším požadovaným dokumentem je havarijní plán popisující minimální požadovanou úroveň funkčnosti systému v případě havárie a způsob, jak bezpečně systém obnovit.
Vyšší než základní úroveň bezpečnosti předpokládá jednak použití systémů bezpečnostní třídy B3 a jednak realizaci dodatečných opatření, která by měla být navržena architektem systému na základě analýzy rizik.
Je možné použít výše popsaný způsob zabezpečení pro ochranu osobních údajů? Má vůbec smysl řídit se vyhláškou, jejíž obdobou se při ochraně svých informací řídí Bondova MI-6? Problém pro použití vyhlášky znamenají hlavně stupně utajení. Utajované informace mohou mít jeden ze čtyř stupňů utajení, kdežto u osobních informací jsou „stupně utajení“ dva – osobní údaje a citlivé osobní údaje, přičemž není jasné, kterým ze čtyř stupňů by tyto dva odpovídaly. Další problém představují požadavky personální bezpečnosti, které v doslovné podobě představují nesmírný zásah do soukromí dotčených osob, který, pokud nejde o státní zájem, nemá zákonné ani morální oprávnění. Z toho vyplývá, že s výjimkou personální bezpečnosti je možné použít jen minimální úroveň zabezpečení (která ovšem představuje zabezpečení lepší než žádné).
Přitom je ale jasné, že ve většině systémů tato minimální úroveň nepředstavuje dostatečnou odpověď na otázku, jak by měl být systém zabezpečený. To vyplývá zejména z celkové filozofie a architektury ochrany, kdy historicky systémy s utajovanými informacemi byly pod centralizovanou správou, přístup k nim byl omezen na uživatele, kteří byli pod bezprostřední kontrolou vlastníka systému a propojení na externí systémy bylo spíš výjimkou než pravidlem. Osobní údaje jsou naopak zpracovávány v prostředí distribuovaných a decentralizovaných komerčních informačních systémů, v nichž se prosazuje otevřenost přístupu uživatelů a vysoká míra propojení systémů je pravidlem spíš než výjimkou. Podle mého tedy jednoznačně lepší řešení bezpečnosti osobních údajů představuje spíše druhá cesta – využití některého ze standardů pro bezpečnost informací pocházející z komerční sféry, příkladem kterého může být například britský standard BS7799.
