Ochrana osobních údajů v IS Na pomoc IT přichází zákon!

Problematika zabezpečení ochrany osobních údajů v informačních systémech má dlouhou historii. Ty byly zpracovávány ...


Problematika zabezpečení ochrany osobních údajů v informačních systémech má
dlouhou historii. Ty byly zpracovávány pomocí prostředků výpočetní techniky již
od dob nasazení sálových počítačů, a to především pro potřeby zpracování platů,
personálních agend apod.
V době sálových počítačů však nebylo zajištění bezpečnosti informačních systémů
prioritní záležitostí, neboť tyto počítače byly umístěny v místnostech s
řízením přístupu a přenos dat v digitální podobě komunikačními kanály v
podstatě neexistoval. Neexistovala také žádná legislativa, která by upravovala
zpracování osobních údajů a osobní údaje byly z hlediska zajištění bezpečnosti
postaveny na úroveň ostatních dat, pokud se nejednalo o utajované skutečnosti.

Nástup legislativy
Situace se však v posledních letech změnila, a to zejména přijetím zákona č.
256/1992 Sb. o ochraně osobních údajů v informačních systémech a následně pak
přijetím zákona č. 101/2000 Sb. o ochraně osobních údajů a o změně některých
zákonů, který nahradil zákon č. 256/1992 Sb.
Pomineme-li širší povinnosti správce nebo zpracovatele osobních údajů,
stanovené zákonem č. 101/2000 Sb., pak z hlediska informačních technologií
tento zákon ukládá správci nebo zpracovateli osobních údajů přijmout taková
opatření, aby nemohlo dojít k:
neoprávněnému nebo nahodilému přístupu k osobním údajům
jejich změně
zničení či ztrátě
neoprávněným přenosům
jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů
Zákon č. 101/2000 Sb. ukládá přijetí výše uvedených opatření v obecné podobě,
nicméně ještě blíže nespecifikuje, jakým způsobem zabezpečit ochranu osobních
údajů. Ke způsobu zabezpečení ochrany osobních údajů totiž zatím ani nebyla
vydána žádná prováděcí vyhláška. Pro ochranu osobních údajů tedy ještě nebyla
stanovena žádná konkrétní pravidla. Výjimku tvoří ochrana těch osobních údajů,
které patří mezi utajované skutečnosti v souladu s legislativou České republiky.
Současný stav v oblasti ochrany osobních údajů je proto možno charakterizovat
následovně:
Již řadu let existují informační systémy, které zpracovávají osobní údaje, a
sice pro potřeby zpracování platů, personalistiky, zdravotního a sociálního
pojištění, lékařské péče, evidence obyvatel, evidence motorových vozidel apod.
ŇV rámci budování výše zmíněných informačních systémů byla řešena i bezpečnost
osobních údajů v těchto IS zpracovávaných, a to na rozdílných úrovních.
Lze předpokládat, že bezpečnost osobních údajů, především u celostátních
registrů a u systémů zpracovávajících citlivé osobní údaje byla řešena na
podstatně vyšší úrovni než u systémů podnikových.
Ve většině případů informační systémy ukládají, zpracovávají a distribuují
nejen osobní údaje, ale i další informace.

Ochrana údajů je širší pojem
Jak tedy přistoupit k zabezpečení ochrany osobních údajů?
Nejčastější chybou při snaze zabezpečit ochranu osobních údajů v souladu se
zákonem je zaměřit se na výběr konkrétních nástrojů a technologií
(bezpečnostních opatření). Přitom bezpečnost osobních údajů (obecně dat) je
poněkud širší pojem, má svůj životní cyklus, metodiky, normy a standardy a
zahrnuje nejen oblast informačních a komunikačních technologií.

Legislativa
Zabezpečení ochrany osobních údajů musí jednoznačně vycházet z platné
legislativy daného státu, v našem případě České republiky. Sem patří především
následující zákony a vyhlášky:
zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů
zákon č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů
vyhláška č. 366/2001 Sb. Úřadu pro ochranu osobních údajů o upřesnění podmínek
stanovených v !6 a !17 zákona o elektronickém podpisu
zákon č. 365/200 Sb. o informačních systémech veřejné správy a o změně
některých zákonů
zákon č. 106/1999 Sb. o svobodném přístupu k informacím
zákon č. 148/1998 Sb. o ochraně utajovaných skutečností a o změně některých
zákonů
vyhláška NBÚ č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů
nakládajících s utajovanými skutečnostmi, o provádění jejich certifikace a o
náležitostech certifikátu.

Jak ladit s EU
Vzhledem k předpokládanému přijetí České republiky do Evropské unie je při
zabezpečení ochrany osobních údajů vhodné zohlednit i požadavky legislativy
Evropské unie, jako jsou například:
směrnice 95/46/EC Evropského parlamentu a Rady z 24. října 1995 o ochraně
jednotlivců s ohledem na zpracování osobních údajů a o volném pohybu takovýchto
údajů
nařízení (ES) č. 45/2001 Evropského parlamentu a Rady z 18. prosince 2000 o
ochraně jednotlivců s ohledem na zpracování osobních údajů institucemi a orgány
Společenství a o volném pohybu takovýchto údajů
směrnice 2002/58/ES Evropského parlamentu a Rady ze dne 10. července 2002 o
zpracování osobních údajů a ochraně soukromí v oblasti elektronické komunikace.

Podniky, laďte také
Požadavky na zabezpečení ochrany osobních údajů vyplývající z legislativy je
vhodné zahrnout do bezpečnostních politik organizace a jejího informačního
systému. Ke splnění těchto požadavků pak je nutné definovat v bezpečnostních
politikách konkrétní cíle, aby bylo možno následně "změřit" jejich naplnění.

Normy a standardy
Při řešení ochrany osobních údajů se doporučuje vycházet z uznávaných metodik,
standardů a norem, protože:
Obsahují zobecnění zkušeností z obdobných řešení ve světě (proč vymýšlet již
vymyšlené).
Zahrnují i další oblasti související s řešením bezpečnosti.
Definují životní cyklus řešení, obsah prací v jeho jednotlivých etapách, a
umožňují tedy zprůhlednit řešení a kontrolovat postup prací.
Postup podle metodik a standardů minimalizuje chyby řešitelů.

Co máme k dispozici
Ochranu osobních údajů je možno řešit například v souladu s následujícími
metodikami, normami a standardy:
ČSN ISO/IEC TR 13335 Informační technologie Směrnice pro řízení bezpečnosti IT
Část 1: Pojetí a modely bezpečnosti IT
Část 2: Řízení a plánování bezpečnosti IT
Část 3: Techniky pro řízení bezpečnosti IT
Část 4: Výběr ochranných opatření
ČSN ISO/IEC 15408 Informační technologie Bezpečnostní techniky Kritéria pro
hodnocení bezpečnosti IT ŇČást 1: Úvod a všeobecný model
Část 2: Bezpečnostní funkční požadavky
Část 3: Požadavky na záruky bezpečnosti
ČSN ISO/IEC 17799 Informační technologie Soubor postupů pro řízení informační
bezpečnosti
Poznámka: Zákon č. 148/1998 Sb. a vyhláška NBÚ č. 56/1999 Sb., týkající se
ochrany utajovaných skutečností, jsou sice uvedeny v části legislativy, lze je
však využít i jako metodiku pro zabezpečení ochrany osobních údajů.

Bezpečnostní architektura
Při řešení ochrany osobních údajů se doporučuje vycházet z obecnějšího schématu
bezpečnostní architektury informačních technologií. Na obrázku "Bezpečnostní
architektura" je uvedeno jedno z možných schémat.

Komplexní řešení
Při zabezpečení ochrany osobních údajů bychom se neměli zaměřovat pouze na
řešení bezpečnosti informačních a komunikačních technologií, ale i na další
oblasti bezpečnosti, související s informačními a komunikačními technologiemi,
viz obrázek "Komplexní řešení bezpečnosti".
Řadu velmi účinných bezpečnostních opatření lze nalézt i v dalších oblastech.
Tato další opatření pak mohou zvýšit celkovou úroveň bezpečnosti s minimálními
náklady.

Životní cyklus řešení
Při řešení ochrany osobních údajů se doporučuje postupovat po jednotlivých
etapách obecného životního cyklu řešení bezpečnosti (viz obrázek "Životní
cyklus bezpečnosti"), což přináší následující výhody:
Schválené výsledky každé etapy tvoří základní vstup pro zpracování etapy
následující.
Řešení po jednotlivých etapách je průhledné.
Řešení po jednotlivých etapách je odolnější vůči změnám.
Řešení po jednotlivých etapách umožňuje snadnější dosažení definovaných cílů na
základě postupného rozpracování obecnějšího k detailnímu.
Řešení po jednotlivých etapách více chrání zdroje nutné pro řešení bezpečnosti.
První čtyři etapy životního cyklu rozpracovávají cíle a požadavky na řešení
bezpečnosti do konkrétního návrhu řešení (tj. bezpečnostního projektu) a jsou
stěžejní pro následné dosažení definovaných cílů.
Realizace bezpečnostního projektu, zpracovaného na základě schválené
bezpečnostní politiky (jsou již definovány cíle) a analýzy rizik (již je také
zřejmé, co je třeba chránit a proti čemu), pak sice může být v reálných
podmínkách a v čase rozložena (především v závislosti na dostupných finančních
zdrojích), tato realizace však neustále směřuje ke splnění definovaných cílů v
oblasti bezpečnosti.
Naplnění obsahu prací v jednotlivých etapách životního cyklu pak je nezbytnou
podmínkou pro eventuální atestaci nebo pro certifikaci informačního systému,
který zpracovává osobní údaje.

Až jako poslední...
Výběr konkrétních nástrojů a technologií pro zabezpečení ochrany osobních údajů
je vhodné provádět až po zpracování a schválení bezpečnostní politiky (jsou
definovány cíle) a provedení analýzy rizik (je známo, co je třeba chránit a
proti jakým hrozbám).
Vzhledem k tomu, že informační systémy, které zpracovávají osobní údaje, již
většinou existují, se doporučuje:
U informačních systémů, pro které ještě nebyla zpracována ani bezpečnostní
politika, ani ještě nebyla provedena analýza rizik, tyto etapy realizovat a při
tvorbě (nebo revizi) bezpečnostního projektu pak zohlednit využití již
implementovaných bezpečnostních opatření.
U těch informačních systémů, pro které již byly výše uvedené etapy zpracovány,
se k nim přesto vrátit a zhodnotit úroveň splnění požadavků legislativy.

Vydejte se specialistům
Systémové řešení ochrany osobních údajů je pak možno řešit buď s využitím
služeb specializovaných firem, nebo i vlastními silami, pokud však má vaše
organizace potřebné odborníky.
Při řešení ochrany osobních údajů je vhodné využít i konzultací Úřadu pro
ochranu osobních údajů, který má tyto služby ve své nabídce. Jeho webové
stránky jsou veřejně přístupné (www.
uoou.cz).
Autor pracuje jako Security Architecture Specialist ve firmě Unisys.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.