Pojem bezpečnost ICT v českém právním řádu

Transkript

1 Pojem bezpečnost ICT v českém právním řádu Prof. Ing. Vladimír Smejkal, CSc. soudní znalec v Praze Fakulta podnikatelská VUT v Brně člen Legislativní rady vlády ČR 1

2 Pojem bezpečnost jako notorieta Pojem bezpečnost je jedním z dnes nejčastěji užívaných termínů v teorii i praxi informačních a telekomunikačních systémů (dále také jen ICT). Je to ale notorieta? Chápou všichni tvůrci, provozovatelé a uživatelé informačních systémů bezpečnost stejně? Přitom právě pro oblast ICT je bezpečnost jedním zhlavních předpokladů a požadavků. Také začlenění bezpečnostních norem do právního řádu není zcela jednoduchou záležitostí. 2

3 Vymezení bezpečnosti ICT v právních předpisech Jak definovat bezpečnost ICT v českém právním řádu? Není vhodná obecná cesta ObčZ stanoví obecnou právní povinnost (generální prevenci), ukládající každému počínat si takovým způsobem, aby svým jednáním nezpůsobil škodu na zdraví, na majetku a na jiných hodnotách, bez ohledu na to, zda mezi poškozeným a škůdcem existuje právní vztah či nikoliv. Každý je podle 415 ObčZ povinen zachovávat vždy takový stupeň bedlivosti (pozornosti), který lze po něm vzhledem ke konkrétní časové a místní situaci rozumně požadovat. Zřejmě bychom těžko posuzovali, zda si dotyčný zachoval dostatečný stupeň bedlivosti v souvislosti s ICT. 3

4 Vymezení bezpečnosti ICT v právních předpisech Inspirovat se zákoníkem obchodním, který pracuje s formulacemi typu postupovat s péčí řádného hospodáře, asi také nepovede k cíli. O dobrých mravech, často posledním útočišti žalobců či žalovaných, ani nemluvě. Přesto některé cesty realizovatelné jsou. Kde a jakým způsobem je bezpečnost ICT vymezena v českých právních předpisech? 4

5 Pojem bezpečnost jako notorieta V českém právním řádu se pojem bezpečnost v souvislosti s ICT nachází cca v desítkách až stovkách zákonů a vyhlášek, jakož i v cca stovce, dílem již neplatných, výrazně podzákonných předpisů v různých věstnících, opatřeních, instrukcích a metodických pokynech. Až na výjimky se ale stále buď pohybujeme v definici kruhem, tj. buď s odkazy o nulové či nekonkrétní informační hodnotě, jakož i s odkazy vedoucí zase k jinde použité notorietě. 5

6 Pojem bezpečnost jako notorieta Pojem bezpečnost ICT lze chápat jako tzv. neurčitý právní pojem, tj. že se jedná o jev či skutečnost, které nelze přesně vymezit co do jejich obsahu a rozsahu. Obecná definice bezpečnosti ICT se v našem právním řádu nevyskytuje. A to nejen definování, co se bezpečností rozumí, ale také nastavení její požadované úrovně. 6

7 Definování bezpečnosti ICT Metrikou bezpečnosti je zpravidla nějaká norma či standard, která říká obvykle věty typu: Je-li vybaven ICT tímto a tímto, jedná se o bezpečný systém kategorie (třídy) XYZ. nebo jinak Chcete-li zabezpečit systém tak, aby splňoval požadavky na bezpečnost stanovené úrovně (a použít pro následné ověření příslušná kritéria pro hodnocení bezpečnosti ICT), musíte udělat toto a toto. 7

8 Normy pro bezpečnost ITS 1. základní bezpečnostní normy pro obecné použití bezpečnostní architektury; 2. funkční normy popisují jak se realizují požadavky vyplývající z obecných norem; 3. hodnotící normy pro hodnocení bezpečnosti (IS, produktů, postupů apod.), např. ITSEC, ITSEM, TCSEC; 4. speciální normy pro určitou činnost (telekomunikace) nebo pro určité odvětví, obor, uživatele (veřejnou správu, armádu, finanční instituce, zpracování osobních údajů apod.). normy ovšem nejsou normami. 8

9 Definování bezpečnosti ICT Vněkterých právních předpisech najdeme ustanovení, která buď o bezpečnosti obecně hovoří, nebo se odkazují na prováděcí předpis. buď není vydán, nebo je nevhodný či přímo legislativně nepřijatelný. 9

10 Definování bezpečnosti ICT Používání odkazů na zahraniční dokumenty, a to převážně, ale nikoliv jen technické normy, mohou přispět k ujasnění a standardizaci ICT a jejich bezpečnosti. Ale i kdyby byly určité bezpečnostní požadavky v těchto dokumentech popsány, samo jejich neprovedení tímto způsobem nemůže zakládat protiprávní jednání. 10

11 Definování bezpečnosti ICT To by bylo možné jen tehdy, pokud by technická norma byla přímo součástí právního předpisu. právní předpis je buď zákon nebo na základě zmocnění vydaný prováděcí předpis (vyhláška nebo nařízení vlády) NIC JINÉHO! 11

12 Technické předpisy Podle 3 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, se technickým předpisem rozumí právní předpis, obsahující technické požadavky na výrobky, popřípadě pravidla pro služby atd. právní předpis musí být vyhlášený ve Sbírce zákonů = vyhláška nebo nařízení vlády. 12

13 Technické předpisy Podle 4 česká technická norma, je dokument schválený pověřenou právnickou osobou pro opakované nebo stálé použití, vytvořený podle tohoto zákona a označený ČSN, jehož vydání bylo oznámeno ve Věstníku Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví (ÚTNMSZ). Česká technická norma poskytuje pro obecné a opakované používání pravidla, směrnice nebo charakteristiky činností nebo jejich výsledků zaměřené na dosažení optimálního stupně uspořádání ve vymezených souvislostech. Česká technická norma není obecně závazná. 13

14 Technické předpisy K technickým právním předpisům jsou v rámci ES vydávány harmonizované evropské normy. Při jejich splnění se má za to, že výrobek odpovídá příslušným obecným ustanovením technického předpisu. Pro specifikaci technických požadavků, vyplývajících z nařízení vlády nebo jiného předpisu vydaného na základě zákona, může ÚTNMSZ po dohodě s ministerstvy a jinými ústředními správními úřady, určit české technické normy, další technické normy nebo technické dokumenty mezinárodních, popř. zahraničních organizací, nebo jiné technické dokumenty, obsahující podrobnější požadavky (určené normy). 14

15 Technické předpisy Jde vlastně o nabídku technického řešení, která nemusí být využita, případnou odpovědnost za škody vzniklé řešením, které je odchylné od harmonizované normy ale nese ten, kdo nesplnil požadavky obecně formulovaného technického předpisu. Obdobný právní význam nyní mají harmonizované ČSN (přebírající či realizující normy ES). 15

16 Technické předpisy Povinné užití české technické normy pro oblast bezpečnosti ITS by sice bylo možné, ovšem vyžadovalo by to řešení spočívající v tom, že bezpečnost ITS by byla upravena nějakým zákonem, který by jako závazný právní předpis uvedl konkrétní normy, které mají být dodrženy, nebo provedl zmocnění pro nařízení vlády nebo vyhlášku. řešeno např. novelou zákona o ISVS pro oblast inf. systémů veřejné správy 16

17 Definování bezpečnosti ICT Existují dvě možnosti, jak postupovat: 1. zařadit tyto normy do soustavy norem ČSN a vydat je v českém jazyce; 2. vydat je plným textem v rámci určité podzákonné normy, tj. vyhlášky nebo nařízení vlády, čímž se stane norma závaznou. Bohužel praxe Českého normalizačního institutu je z tohoto pohledu zcela nevhodná: vydávají se texty norem v angličtině, s českou předmluvou zanedbatelného rozsahu viz např. ČSN/ISO IEC v roce 2001 (česky vyšla až 5 let poté). 17

18 Příklad: právní předpisy vztahující se k bezpečnosti ITS v bankách Právní úprava vyplývá ze zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů : Podle 41 odst. 1 ČNB koordinuje rozvoj bankovního informačního systému v České republice. Za tím účelem právním předpisem stanoví zásady bankovního informačního systému. 18

19 Právní předpisy vztahující se k bezpečnosti ITS v bance Prováděcí předpisy ČNB: Opatření České národní banky č. 2 ze dne 3. února 2004 k vnitřnímu řídicímu a kontrolnímu systému banky opatření stanoví požadavky na vnitřní řídicí a kontrolní systém banky včetně požadavků na interní audit a řízení rizik, požadavky stanovené tímto opatřením přiměřeně upraví banka ve své předpisové základně. 19

20 Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení: 3 odst. 4 - Veškeré rozhodovací procesy a kontrolní činnosti musí být zpětně rekonstruovatelné (vysledovatelné). K naplnění tohoto požadavku banka vytvoří odpovídající systém archivace dokumentů a dat. 20

21 Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení - 8 : (4) V bance je prováděna odděleně správa informačních systémů od vyhodnocování bezpečnostních auditních záznamů, kontroly přidělování přístupových práv a vypracování a aktualizace bezpečnostních předpisů pro tyto systémy. (5) Banka zajistí oddělené zajišťování vývoje a provozu informačních systémů. (6) Interní audit musí být vykonáván nezávisle na veškerých výkonných činnostech banky. 21

22 Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení - 16 : Všechny nově zaváděné informační systémy musí splňovat podmínky uvedené v příloze č. 4, čl. VI, odst. 3. Informační systémy zakoupené či instalované před platností tohoto opatření, které nevyhovují požadavku přílohy č. 4, čl. VI, odst. 3 banka upraví nebo nahradí vyhovujícími nejpozději do tří let od platnosti tohoto opatření. ČNB může na žádost banky tuto lhůtu prodloužit na pět let. 22

23 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: I) Řízení informačních systémů (1) Banka přijme strategii rozvoje informačních systémů a postupy pro naplňování této strategie. (2) Banka přijme bezpečnostní politiku informačních systémů. (3) Bezpečnostní politika informačních systémů obsahuje: a) cíle bezpečnosti informačních systémů, b) hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací, c) odpovědnosti za ochranu aktiv a plnění bezpečnostní politiky informačních systémů. 23

24 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: (4) Banka zabezpečí, aby strategie rozvoje a bezpečnostní politika informačních systémů byly pravidelně vyhodnocovány a případně upravovány. (5) Banka zabezpečí dodržování bezpečnostní politiky v jednotlivých informačních systémech. (6) Banka uzavře písemnou formou smluvní vztahy s poskytovateli služeb a produktů pro informační systémy. 24

25 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: II) Analýza rizik (1) Banka musí provést analýzu rizik spjatých s informačními systémy. V ní definuje aktiva informačních systémů, hrozby, které na ně působí, zranitelná místa informačních systémů, pravděpodobnost realizace hrozeb a odhad jejich následků a protiopatření. (2) Banka pravidelně provádí aktualizaci analýzy rizik. 25

26 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: III) Bezpečnost přístupu k informacím Banka zabezpečí: a) přidělení přístupových práv uživatelům v informačních systémech; b) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet aktivitám uživatelů v informačních systémech, c) přístup k informacím v informačních systémech pouze uživateli, který byl pro tento přístup autorizován, d) ochranu důvěrnosti a integrity autentizační informace, 26

27 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: III) Bezpečnost přístupu k informacím e) zaznamenávání událostí, které ohrozily nebo narušily bezpečnost informačních systémů, do bezpečnostních auditních záznamů, ochranu těchto záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením, a jejich archivaci, f) vyhodnocování bezpečnostních auditních záznamů pracovníkem, který nemá možnost modifikovat v informačních systémech informace související s činností, o které je bezpečnostní auditní záznam pořízen. 27

28 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: IV) Bezpečnost komunikačních sítí (1) Připojení sítě, která je pod kontrolou banky, k vnější komunikační síti, která není pod kontrolou banky, musí být zabezpečeno tak, aby byla minimalizována možnost průniku do informačních systémů. (2) Banka zabezpečí, aby při přenosu důvěrných informací vnější komunikační sítí byla zajištěna: a) adekvátní důvěrnost a integrita informací, b) spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikačních a autentizačních informací. 28

29 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: V) Fyzická bezpečnost informačních systémů Na základě analýzy rizik zavede banka opatření pro fyzickou ochranu aktiv informačních systémů. 29

30 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: VI) Provozovaní informačních systémů (1) Při provozování informačních systémů musí být pravidelně prověřována a vyhodnocována jejich bezpečnost. (2) Změnu v informačních systémech je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačních systémů. (3) V provozovaných informačních systémech může být používáno pouze otestované programové vybavení, u kterého výsledky testů prokázaly, že bezpečnostní funkce jsou v souladu s bezpečnostní politikou informačních systémů. Výsledky testů musí být dokumentovány. 30

31 Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: VI) Provozovaní informačních systémů (4) Servisní činnost v provozovaných informačních systémech se musí organizovat tak, aby bylo minimalizováno ohrožení jejich bezpečnosti. (5) Banka zabezpečí zálohování informací a programového vybavení informačních systémů významných pro její fungování. Zálohované informace a programové vybavení musí být uloženy tak, aby byly zabezpečeny proti poškození, zničení a krádeži. 31

32 Bezpečnost ISVS Definována zákonem č. 365/2000 Sb. o ISVS Podle ust. 5b Bezpečnost informačních systémů veřejné správy platí: (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům. 32

33 Bezpečnost ISVS Podle 12 písm. e) Ministerstvo informatiky (dnes vnitra) stanoví vyhláškou požadavky na strukturu a obsah informační koncepce, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy podle 5a odst. 1, g) rozsah zajišťování bezpečnosti informačních systémů veřejné správy a oblasti minimálních bezpečnostních požadavků k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací podle 5b odst

34 Bezpečnost ISVS K vydání prováděcího předpisu o bezpečnosti k zákonu o ISVS došlo až vyhl. č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy, účinnou

35 Bezpečnost ISVS Tato vyhláška mj. definuje dlouhodobé cíle v oblasti řízení bezpečnosti a požadavky na strukturu provozní dokumentace včetně bezpečnostní dokumentace, je psána dostatečně obecně a obsahuje pouze jeden odkaz na normu, a to českou technickou normu ČSN ICTO/IEC 15288, navíc jen příkladmo. vhodný postup! 35

36 Bezpečnost ICT v oblasti utajovaných informací Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve svém 5 písm. e) říká, že bezpečnost informačních nebo komunikačních systémů tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému. Dále Hlava VI. zákona a prováděcí předpis. 36

37 Bezpečnost ICT v oblasti utajovaných informací Vyhl. č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor, neobsahuje žádné odkazy na zahraniční dokumenty či technické normy. Ani vyhl. č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací a č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací. 37

38 Bezpečnost ICT v oblasti elektronického podpisu Definováno zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, a to vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb. 38

39 Bezpečnost ICT v oblasti elektronického podpisu Podle ust. 6 odst. 1 zákona je kvalifikovaný poskytovatel certifikačních služeb povinen ad c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES, 39

40 Bezpečnost ICT v oblasti elektronického podpisu Ve vyhlášce č. 378/2006 Sb. jsou konkrétně, ale současně technologicky nezávislým způsobem popsány pojmy jako bezpečnostní dokumentace, bezpečný kryptografický modul, požadavky na bezpečné systémy, kontrola bezpečnostní shody, audit systému řízení bezpečnosti informací apod. Problém snad jen v příloze č. 1, kde se pracuje se seznamem norem a standardů (včetně zahraničních CWA a FIPS PUB). 40

41 Bezpečnost ICT v oblasti elektronického podpisu Negativním příkladem jsou některé části vyhl. č. 496/2004 Sb., o elektronických podatelnách, vycházející pouze ze zahraničních, u nás oficiálně nepublikovaných norem, jak je uvedeno výše. 41

42 Vhodné řešení Koncepce: 1. zákon (se správným zmocněním) 2. prováděcí předpis (technický předpis) 3. obsahující odkaz na technickou normu, dostupnou v ČR. 42

43 Příklad Zákon č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů, podle kterého určené výrobky mohou výrobci nebo dovozci uvést na trh nebo, stanoví-li tak nařízení vlády, mohou být tyto výrobky uvedeny do provozu, jen splňují-li technické požadavky stanovené podle 12 odst. 1 písm. b) nařízeními vlády a po posouzení shody podle 12 odst. 3 zákona. 43

44 Příklad Např. v souvislosti s elektromagnetickou kompatibilitou bylo vydáno nařízení vlády č. 18/2003 Sb: Podmínky uvedené v odst. 1 se považují za splněné, pokud je přístroj ve shodě a) s harmonizovanými českými technickými normami, popřípadě zahraničními technickými normami přejímajícími v členských státech Evropské unie harmonizované evropské normy ( 4a zákona), nebo b) s určenými normami ( 4a zákona) zahrnujícími české nebo zahraniční technické normy, které byly pro tento účel oznámeny Komisí Evropských společenství, v případě, že v příslušné oblasti normy podle písmene a) neexistují. Zde tedy odkazy na zahraniční normy jsou využívány, ale pouze v rámci ES. 44

45 Závěr Otázka přípustnosti a míry použití zahraničních norem v českých právních předpisech není zcela jasná, a to jak z hlediska ústavní konformnosti, tak z hlediska obecných požadavků na právní předpisy. Požaduje se, aby právní norma byla ve svém vyjádření přesná a srozumitelná. 45

46 Závěr Otázka srozumitelnosti se ale klade i z hlediska srozumitelnosti jazyka, v němž byl právní předpis vydán. Nerozumí-li někdo tomuto jazyku, platí přirozeně zásada, že neznalost zákona neomlouvá. Pokud ale dochází v rámci právního řádu jednoho státu k vytváření řetězců odkazů, končících u zahraničního, v českém jazyce oficiálně nepublikovaného znění, lze mít jisté pochybnosti. Chybí informativnost práva. 46

47 Závěr Problematika právního vymezení bezpečnosti ICT v českém právním řádu není triviální, a to zejména v případech, kdy bude správním orgánem nebo soudem posuzováno, zda došlo k zanedbání či přímo porušení bezpečnosti ICT. Zatímco z hlediska budování IS je možné postupy, vycházející ze zahraničních norem či dokonce odborných publikací akceptovat, v rámci soudních a správních řízení to bude činit problémy. 47

48 Literatura Smejkal, V., Rais, K. Řízení rizik. 2. vydání. Praha : GRADA, 2006, 350 stran Smejkal, V. a kol. Právo informačních a telekomunikačních systémů. 2. vydání. Praha : C. H. Beck 2004, 860 stran Mates, V., Smejkal, V.: E-government v českém právu. 1. vydání. LINDE, Praha Smejkal, V., Švestka, J. Odpovědnost za škodu při provozu informačního systému, aneb nemalujme čerta na zeď. Právní rozhledy, XIII., 2005, č. 19, s

49 Kontakt: Děkuji za pozornost. 49