Bezpečnst infrmačních systémů - - zákny a instituce 1 Petr Ducek Vyská škla eknmická Fakulta infrmatiky a statistiky Katedra systémvé analýzy ducek@vse.cz Mtt: In e we trust (Delina, Vajda, 2006) Abstract: A large number f acts and legal rules dealing with infrmatin security represent permanent increasing dependency f ur sciety n infrmatin technlgy. Other expsure f this feature is all ver the wrld accepted requirements n infrmatin technlgy crrect functinality, privacy, integrity and accessibility. This cntributin presents a shrt scpe f selected acts valid in the Czech natinal legal framewrk and their influence n infrmatin sciety establishment with accent n cnstitutin f infrmatin security authrities. There are presented main rles and missins f fllwing authrities in this article The Natinal Security Office (NBÚ), The Ministry f Interir f then Czech Republic (MV ČR), The Office fr Persnal Data Prtectin (ÚOOÚ), The Czech Office fr Standards, Metrlgy and Testing (UNMZ), The Czech Standards Institute (CNI), The Internatinal Organizatin fr Standardizatin (ISO). The shrt descriptin f existing wrking grups (WG) and sub-cmmissins (SC) wrking in the area f infrmatin technlgy security in the frame f ISO is mentined at the end f the article. General valid prcesses fr acceptance f ISO internatinal standards are presented here. Key Wrds: Infrmatin Security Management System, Legal frame, Authrities Klíčvá slva: Systém řízení infrmační bezpečnsti, záknné úpravy, instituce V sučasné dbě, kdy se prakticky všechny nárdy světa vydávají na cestu k znalstní splečnsti a kdy prbíhají změny v eknmice, které i vynutily změnu názvu eknmiky na nvu eknmiku (Kelly, 1998) neb také znalstní eknmiku (Drucker, 1992), se neustále větší a větší pzrnst brací k infrmačním systémům a infrmačním a kmunikačním technlgiím (IS/ICT) jak významnému zdrji knkurenční výhdy. IS/ICT představují v takt kmplexní a prvázané splečnsti knkurenční výhdu ve dvu hlavních směrech. Prvním z nich je jejich vládání a schpnst jejich užívání, která dává uživatelům výhdu před těmi, kteří jich buď neumí využívat vůbec, neb je umí využívat puze v mezeném rzsahu a druhu, dalek významnější výhdu, je využívání bsahu infrmačních systémů tedy dat, infrmací a znalstí, které jsu v nich ulženy a které jsu k dispzici puze tmu, kd ví a zná, jak s nimi pracvat. Druhá knkurenční výhda předsta- 1 Článek byl zpracván za pdpry Grantvé agentury České republiky rámci řešení grantvéh úklu 201/07/0455 Mdel vztahu mezi výknnstí pdnikání, účinnstí pdnikvých prcesů a efektivnstí pdnikvé infrmatiky. 30
Petr Ducek vuje výhdu efektivnější, prtže ji nastavuje d blasti segmentů bezprstředních knkurentů neb supeřů na přibližně srvnatelné úrvni. Zdrjem těcht výhd není všem existence IS/ICT jak takvých, ale jejich efektivní zapjení d celé splečnsti, kteru ptm nazýváme splečnstí znalstní. Mezi základní pilíře krektníh fungvání znalstní splečnsti řadíme (Dahlman, 2006): legislativu, legislativní pravidla, prfesní a kvalifikační předpklady lidí jejich vzdělávání, infrmační a kmunikační technlgie, invace. Legislativa je nezbytná, aby vyřešila prblémy spjené se zrvnprávněním dkumentů a dat ulžených v IS/ICT s daty v klasické papírvé frmě. Všechny statní blasti se de fact týkají IS/ICT. Cílem získání prfesních a kvalifikačních předpkladů lidí pr práci se znalstmi je minimálně je naučit plnit s IS/ICT efektivně své pracvní i mimpracvní úkly (např. vztahy se státem elektrnická administrativa, elektrnické bchdvání, elektrnické bankvní služby) (Delina, Vajda, 2006). Samtné invace pak představují širku platfrmu pr rychlé prgresivní změny v eknmice zalžené zejména na schpnsti využívat IS/ICT. IS/ICT se tak stávají kritickým faktrem úspěšnsti eknmiky nejen firem, ale i celých států a prakticky i celéh lidstva. Zamyslíme-li se nad těmit fakty d důsledků, jak někteří filzfvé (Pstružina, 2001), (Fukujama, 1992), djdeme k závěru, že celá naše eknmika a splečnst je zalžena na důvěře (Delina, 2008). Ne všem na důvěře v dbré knání lidí, ve vlastní schpnsti, dvednsti a znalsti, ale na důvěře v IS/ICT. IS/ICT se tak pmalu z dbréh sluhy stává vrtšivým a nevyzpytatelným pánem, který stále víc a víc vlivňuje naše knání, rzhdvání a ve finále určuje i hranici mezi úspěchem a neúspěchem. Aby IS/ICT nebyly ním zmíněným zlým pánem, je nutné je permanentně kntrlvat a starat se tm aby plnily svůj základní úkl pskytvaly služby (Ducek, Nvtný, 2007). Aby IS/ICT pskytvaly pžadvané služby a tím i uspkjvaly pžadavky, které na ně uživatelé kladu, je nutné zajistit jejich bezprblémvý chd. Pr zajištění chdu IS/ICT je nutné splnit celu řadu pžadavků. Jedním z nich je i pžadavek na bezpečnst prvzvanéh IS/ICT. Základním úklem a cílem bezpečnsti IS/ICT rganizace je zabezpečit a chránit její aktiva v blasti IS/ICT tedy investice, které byly vynalženy, aby mhla vyknávat svje činnsti spjené s hlavními prcesy a tím se realizvat na trhu. Z tht phledu je zcela jedn, jestli se jedná rganizaci sukrmu, státní, instituci státní neb veřejné správy neb nadaci. Určité dchylky na jedné straně směrem ke zjedndušení prcesů a na straně druhé k jejich kumulaci je mžné pzrvat zejména u malých a středních rganizací (Antlvá, 2008). Infrmační systémy se čast stávají běťmi útků různých druhů lidí, kteří jsu lehkmyslní a udělají závažnu chybu neb kteří chtějí získat neprávněnu výhdu z průniku d cizíh infrmačníh systému neb kterým jen stačí pcit, že jsu tak dbří, že jsu schpni překnat patření, které infrmační systém chrání. Prtže ale nikdy nevíme a priri jaký typ narušitele se jedná jestli člvěka se špatným úmyslem, sprtvce neb jenm pracvníka, který je nedbalý - musíme se těmt útkům, přesněji řečen ptenciálním hrzbám takvých útků, bránit. 31
Bezpečnst infrmačních systémů zákny a instituce Cílem našeh snažení je chrana investic vlžených d IS/ICT a celkvý rámec, jak mhu neb musí prbíhat takvé činnsti, určuje legislativní rámec země neb skupiny zemí. Tent rámec pak představuje vlastně základ pr budvání infrmační splečnsti. Legislativní rámec České republiky představují v blasti bezpečnsti IS/ICT zejména následující vybrané zákny, jimiž jsu zřizvány instituce neb vymezvána jejich půsbnst pdprující prsazení bezpečnsti IS/ICT: zákn č. 101/2000 Sb., chraně sbních údajů a změně některých záknů na jeh základě pracuje Úřad pr chranu sbních údajů, zákn č. 412/2005 Sb., chraně utajvaných infrmací a bezpečnstní způsbilsti vymezuje půsbnst Nárdníh bezpečnstníh úřadu. Prváděcí vyhlášky th zákna pr jedntlivé specializvané blasti jsu: vyhláška č. 523/2005 Sb., bezpečnsti infrmačních a kmunikačních systémů a dalších elektrnických zařízení nakládajících s utajvanými infrmacemi a certifikaci stínicích kmr, vyhláška č. 524/2005 Sb., zajištění kryptgrafické chrany utajvaných infrmací, vyhláška č. 525/2005 Sb., prvádění certifikace při zabezpečvání kryptgrafické chrany utajvaných infrmací, vyhláška č. 526/2005 Sb., stanvení vzrů pužívaných v blasti průmyslvé bezpečnsti a seznamech písemnstí a jejich náležitstech nutných k věření splnění pdmínek pr vydání svědčení pdnikatele a způsbu pdání žádsti pdnikatele (vyhláška průmyslvé bezpečnsti), vyhláška č. 527/2005 Sb., stanvení vzrů v blasti persnální bezpečnsti a bezpečnstní způsbilsti a seznamech písemnstí přikládaných k žádsti vydání svědčení fyzické sby a k žádsti dklad bezpečnstní způsbilsti fyzické sby a způsbu pdání těcht žádstí (vyhláška persnální bezpečnsti), vyhláška č. 528/2005 Sb., fyzické bezpečnsti a certifikaci technických prstředků, vyhláška č. 529/2005 Sb., administrativní bezpečnsti a registrech utajvaných infrmací, zákn č. 365/2000 Sb., infrmačních systémech veřejné správy (ISVS) a změně některých dalších záknů, jak vyplývá ze změn prvedených záknem č. 517/2002 Sb., záknem č. 413/2005 Sb., záknem č. 444/2005 Sb., záknem č. 70/2006 Sb. a záknem č. 81/2006 Sb. zakládá v sučasnsti půsbení Odbru kncepce a krdinace ISVS Ministerstva vnitra České republiky; Cílem nvelizvané právní úpravy je dsáhnut vyšší efektivity při přizvání a bnvě infrmačních systémů veřejné správy, nastavit průhledné a standardizvané prcesy při zavádění a správě infrmačních systémů veřejné správy a v nepslední řadě připravit vhdné prstředí pr rzšiřvání a zvyšvání kvality služeb pskytvaných veřejnu správu bčanům a pdnikatelům; Zákn upravuje způsb správy infrmačních systémů veřejné správy, uvádí řadu zásadních dbrných řešení a pvinnsti atestačních středisek, cž vede k vydání něklika prváděcích předpisů: 32
Petr Ducek Vyhláška č. 469/2006 Sb., frmě a technických náležitstech předávání údajů d infrmačníh systému datvých prvcích a pstupech Ministerstva infrmatiky a jiných rgánů veřejné správy při vedení, zápisu a vyhlašvání datvých prvků v infrmačním systému datvých prvcích (vyhláška infrmačním systému datvých prvcích). Vyhláška č. 53/2007 Sb., technických a funkčních náležitstech uskutečňvání vazeb mezi infrmačními systémy veřejné správy prstřednictvím referenčníh rzhraní (vyhláška referenčním rzhraní). Vyhláška č. 528/2006 Sb., frmě a technických náležitstech předávání údajů d infrmačníh systému, který bsahuje základní infrmace dstupnsti a bsahu zpřístupněných infrmačních systémů veřejné správy (vyhláška infrmačním systému infrmačních systémech veřejné správy). Vyhláška č. 529/2006 Sb., pžadavcích na strukturu a bsah infrmační kncepce a prvzní dkumentace a pžadavcích na řízení bezpečnsti a kvality infrmačních systémů veřejné správy (vyhláška dluhdbém řízení infrmačních systémů veřejné správy). Dále byly vydány vyhlášky upravujících činnst atestačních středisek a pdmínky vyknávání atestací ISVS. Vyhláška č. 52/2007 Sb., pstupech atestačních středisek při psuzvání způsbilsti k realizaci vazeb infrmačních systémů veřejné správy prstřednictvím referenčníh rzhraní. Vyhláška č. 530/2006 Sb., pstupech atestačních středisek při psuzvání dluhdbéh řízení infrmačních systémů veřejné správy. zákn č. 22/1997 Sb., technických pžadavcích na výrbky a změně a dplnění některých záknů, ve znění pzdějších předpisů. Zákn č. 22/1997 Sb. nabyl účinnsti 1.9.1997 a byl pstupně nvelizván zákny č. 71/2000 Sb., č. 102/2001 Sb., č. 205/2002 Sb., č. 226/2003 Sb. a č. 277/2003 Sb. Jimi je právně úpravena technická nrmalizace včetně technické nrmalizace bezpečnsti IS/ICT. Zákn upravuje práva a pvinnsti, které suvisí s tvrbu a vydáváním českých technických nrem. Na základě zákna vydal MPO rzhdnutí č. 203/97, kterým byl s účinnstí d 1.9.1997 Český nrmalizační institut pvěřen zabezpečváním tvrby a vydáváním českých technických nrem (Sdělení MPO č. 237/1997 Sb.) ; zákn České nárdní rady č. 20/1993 Sb., zabezpečení výknu státní správy v blasti technické nrmalizace, metrlgie a státníh zkušebnictví vymezuje pravmci a pvinnsti Úřadu pr technicku nrmalizaci, metrlgii a státní zkušebnictví. K legislativnímu rámci České republiky v blasti IS/ICT včetně řízení jejich bezpečnsti patří celá řada dalších záknů a vyhlášek. Krmě nich mají vliv na nasazvání IS/ICT i záknné úpravy i jiných zemí (Kunstvá, 2006), (Svatá, 2005). U ne všech záknů, nrem, standardů a vyhlášek je suvislst s IS/ICT na první phled patrná, jak třeba u zákna na zadávání veřejných zakázek (čísl) a 33
Bezpečnst infrmačních systémů zákny a instituce mnhých dalších zejména z blasti řízení jaksti (Weber, 2006), (Nvtný, 2005), účetnictví, výkaznictví a auditu (Svatá, 2006). Instituce zabývající se bezpečnstí IS/ICT Na základě výše uvedených záknů vznikly instituce, jejichž hlavním úklem je řešit tázky spjené s bezpečnstí infrmačních systémů a infrmačních a kmunikačních technlgií. Některým z nich je věnván následující text. Úřad pr chranu sbních údajů - ÚOOÚ Záknem č. 101/2000 Sb., chraně sbních údajů a Listinu základních práv a svbd je zaručen práv na chranu bčana před neprávněným zasahváním d jeh sukrméh a sbníh živta neprávněným shrmažďváním, zveřejňváním neb jiným zneužíváním sbních údajů. V sučasné splečnsti může být vlivem rzvje infrmačních technlgií tt práv stále více, častěji lehčeji narušván. ÚOOÚ je nezávislým rgánem, který zejména: prvádí dzr nad ddržváním záknem stanvených pvinnstí při zpracvání sbních údajů, vede registr pvlených zpracvání sbních údajů, přijímá pdněty a stížnsti bčanů na prušení zákna, pskytuje knzultace v blasti chrany sbních údajů. Úlhu ÚOOÚ je tedy chránit sukrmí bčanů prti zneužití dat ulžených v IS/ICT různých rganizacích jak sukrmých, tak i státních. Další významnu úlhu ÚOOÚ kntrla shrmažďvání sbních údajů (třeba i z veřejně dstupných zdrjů) a mžnsti z nich dvzvat vztahy, jejichž zveřejněním neb využitím by mhl djít k prušení sukrmí bčanů. Nárdní bezpečnstní úřad - NBÚ Nárdní bezpečnstní úřad je pdle ustanvení 2 dst. 1 zákna č. 2/1969 Sb., zřízení ministerstev a jiných ústředních rgánů státní správy, ve znění pzdějších předpisů, ústředním rgánem státní správy. Pdle ustanvení 136 dst. 1 zákna č. 412/2005 Sb., chraně utajvaných infrmací a bezpečnstní způsbilsti, ve znění pzdějších předpisů, vyknává Nárdní bezpečnstní úřad státní správu v blasti chrany utajvaných infrmací a bezpečnstní způsbilsti a jeh hlavní úkly jsu vymezeny v ustanvení 137 tht zákna. Nárdní bezpečnstní úřad zejména: rzhduje žádsti fyzické sby, žádsti pdnikatele a žádsti dklad a zrušení platnsti svědčení fyzické sby, svědčení pdnikatele a dkladu, plní úkly v blasti chrany utajvaných infrmací v suladu se závazky vyplývajícími z členství České republiky v Evrpské unii, Organizaci Severatlantické smluvy a z mezinárdních smluv, jimiž je Česká republika vázána, vede ústřední registr a schvaluje zřízení registrů v rgánech státu a u pdnikatelů, 34
Petr Ducek ve stanvených případech pvluje pskytvání utajvaných infrmací v mezinárdním styku, zajišťuje činnst Nárdníh střediska kmunikační bezpečnsti, Nárdníh střediska pr distribuci kryptgrafickéh materiálu, Nárdníh střediska pr měření kmprmitujícíh elektrmagnetickéh vyzařvání a Nárdníh střediska pr bezpečnst infrmačních systémů, které jsu jeh sučástí, prvádí certifikace technických prstředku, infrmačních systému, kryptgrafických prstředku, kryptgrafických pracviště a stínicích kmr, zajišťuje výzkum, vývj a výrbu nárdních kryptgrafických prstředků, vyvíjí a schvaluje nárdní šifrvé algritmy a vytváří nárdní plitiku kryptgrafické chrany. Systém chrany utajvaných infrmací umžňuje minimalizvat pčet infrmací utajvaných ve veřejném zájmu, zajišťuje jim nejvyšší mžnu chranu a zabezpečuje přístup k těmt infrmacím puze sbám, které je nezbytně ptřebují k výknu svéh pvlání neb funkce. Dále vytváří předpklady pr práci s utajvanými infrmacemi v České republice a také pr jejich výměnu v rámci mezinárdních styků a t zejména: stanvuje infrmace, které je nutn v zájmu České republiky chránit, stanvuje diferencvaně jedntlivé stupně utajení utajvaných infrmací a kritéria pr jejich pužívání, upravuje výkn státní správy v blasti chrany utajvaných infrmací, stanvuje práva a pvinnsti právnických a fyzických sb, stanvuje knkrétní pdmínky, které musí splňvat sba, jež má být určena pr styk s utajvanými infrmacemi, stanvuje pstup při určvání sb a způsb prvádění bezpečnstních prvěrek sb, upravuje zvláštní způsby určvání sb a vymezuje kruh sb určených ze zákna, stanvuje pstup při zpršťvání pvinnsti mlčenlivsti, upravuje prstředky chrany utajvaných infrmací, upravuje kryptgraficku chranu, vymezuje blast průmyslvé bezpečnsti a způsb prvádění bezpečnstní prvěrky rganizace, upravuje chranu utajvaných infrmací pskytvaných v rámci mezinárdních styků, upravuje evidenci utajvaných infrmací prstřednictvím registrů utajvaných infrmací, upravuje výkn státníh dzru nad chranu utajvaných infrmací, stanvuje sankce za prušení pvinnstí stanvených záknem, stanvuje dbu platnsti určení sby a způsb nakládání s utajvanými infrmacemi, které byly prvedeny pdle nynější právní úpravy. 35
Bezpečnst infrmačních systémů zákny a instituce Prváděcí vyhlášky zákna č. 412/2005 Sb., pak vymezují, v suladu s ustanvení 5 tht zákna, druhy zajištění chrany utajvaných infrmací, jejichž úrveň je sledvána NBÚ: persnální bezpečnst, průmyslvá bezpečnst, administrativní bezpečnst, fyzická bezpečnst, bezpečnst infrmačních a kmunikačních technlgií, kryptgrafická chrana. Ministerstv vnitra MV ČR, Odbr kncepce a krdinace ISVS Útvary v pdřízensti náměstka ministra vnitra pr veřejnu správu, infrmatiku, legislativu a archivnictví - Sekce infrmatiky, Odbr kncepce a krdinace ISVS. Odbr převzal během rku 2007 kmpetence bývaléh Ministerstva infrmatiky ČR. Odbr je útvarem, který zajišťuje výkn vybraných kmpetencí ministerstva pdle zákna č. 365/2000 Sb., infrmačních systémech veřejné správy a změně některých dalších záknů, jak vyplývá ze změn prvedených záknem č. 517/2002 Sb., záknem č. 413/2005 Sb., záknem č. 444/2005 Sb., záknem č. 70/2006 Sb. a záknem č. 81/2006 Sb. Odbr zajišťuje v kmpetencích plynucích ze zákna č. 365/2000 Sb. zejména následující činnsti: vydávání správních rzhdnutí pdle tht zákna, tvrbu metdických dkumentů pr výkn dbrných činnstí v blasti infrmačních systémů veřejné správy, zpracvání návrhů právních předpisů v blasti infrmačních systémů veřejné správy, prvz veřejnéh infrmačníh systému datvých prvcích, a t včetně vyhlašvání datvých prvků, prvz veřejnéh infrmačníh systému, který bsahuje infrmace dstupnsti a bsahu infrmačních systémů veřejné správy, vydávání správních rzhdnutí ve věci pvěření k prvádění atestací a pvěření k prvádění akreditace, kntrlu plnění pvinnstí rgánů veřejné správy, dzr nad atestačními středisky a akreditující sbu. D půsbnsti dbru kncepce krdinace ISVS patří i výkn činnstí spjených s vydáváním atestací různým rganizacím pr atestaci kmpnent, metdik neb pstupů na sulad se standardy ISVS. Český nrmalizační institut - ČNI Český nrmalizační institut je státní příspěvkvá rganizace řízená Ministerstvem průmyslu a bchdu. Pslání ČNI je zejména: vytvářet pdmínky pr tvrbu technických nrem a suvisejících dkumentů a pdprvat jejich pužívání, 36
Petr Ducek krdinvat tvrbu mezinárdních, evrpských a nárdních technických nrem a suvisejících dkumentů, vytvářet prdukty pdprující využívání technických nrem a nrmativních dkumentů, šířit technické nrmy a prdukty pdprující jejich využívání. ČNI je dpvědný za: tvrbu českých technických nrem, jejich jedntnst a vzájemný sulad a sulad s právními předpisy, včasné zveřejňvání známení připravvaných návrzích českých technických nrem, jejich vydání, změnách a zrušení ve Věstníku Úřadu pr technicku nrmalizaci, metrlgii a státní zkušebnictví, prjednávání návrhu české technické nrmy, její změny neb zrušení s každým, kd se ve stanvené lhůtě přihlásí a uplatňvání chrany právněnéh zájmu, vydávání českých technických nrem a jejich distribuci, pskytvání infrmací technických nrmách, plnění pvinnstí vyplývajících z členství v mezinárdních a evrpských nrmalizačních rganizacích, zabezpečvání účasti na splupráci s mezinárdními a evrpskými nrmalizačními rganizacemi, služby spjené s dbrvlnu certifikací shdy výrbků s českými technickými nrmami. Český nrmalizační institut je v České republice jediný, kd ddává všechny technické nrmy a pskytuje veškeré suvisející infrmace a služby, které jsu tím správným a nezbytným klíčem k evrpskému i světvému trhu. ČNI se aktivně pdílí na mezinárdní splupráci zejména v následujících blastech: Mezinárdní splupráce (tvrba pracvních dkumentů pr zpracvatele nrem, tvrba nabídek splupráce pr vybrané dbrníky). Mezinárdní zasedání (tvrba Plánu technické nrmalizace, Pkyny pr sestavvání plánu technické nrmalizace pr aktuální rk, Plán technické nrmalizace - Nrmtvrné a rzbrvé úkly, Úkly mezinárdní splupráce). Splupráce s Úřadem pr technicku nrmalizaci, metrlgii a státní zkušebnictví. Metdické pkyny. Návrh na zrušení nrem pr jejich technicku zastaralst, neaktuálnst neb z jiných důvdů. Návrhy evrpských nrem a jiných dkumentů CEN (Eurpean Cmmittee fr Standardizatin - Evrpský nrmalizační výbr), CENELEC (Eurpean Cmmittee fr Electrtechnical Standardizatin - Evrpská kmise pr nrmalizaci v elektrtechnice), ETSI (Eurpean Telecmmunicatins Standards Institute Evrpský institut pr telekmunikační standardy) předkládané k veřejnému prjednání. 37
Bezpečnst infrmačních systémů zákny a instituce Rzšiřvání schválených evrpských nrem a jiných dkumentů CEN, CENELEC, ETSI. Úřad pr technicku nrmalizaci, metrlgii a státní zkušebnictví - ÚNMZ ÚNMZ je rganizační slžku státu v resrtu Ministerstva průmyslu a bchdu ČR. Hlavním psláním ÚNMZ je zabezpečvat úkly vyplývající ze záknů České republiky upravujících technicku nrmalizaci, metrlgii a státní zkušebnictví a úkly v blasti technických předpisů a nrem uplatňvaných v rámci členství České republiky v Evrpské unii. Úřad vyknává půsbnst státu v následujících blastech : harmnizace technických předpisů, technické nrmalizace, metrlgie, zkušebnictví. Půsbnst Úřadu je stanvena záknem č. 20/1993 Sb., zabezpečení výknu státní správy v blasti technické nrmalizace, metrlgie a státníh zkušebnictví, dále záknem č. 22/1997 Sb., technických pžadavcích na výrbky, záknem č. 505/1990 Sb., metrlgii a dále vyplývá z příslušných usnesení vlády a mezinárdních smluv, jimiž je Česká republika vázána. Český institut pr akreditaci - ČIA Český institut pr akreditaci je becně prspěšná splečnst a jak Nárdní akreditační rgán zalžený vládu České republiky pskytuje své služby v suladu s platnými právními předpisy ve všech blastech akreditace jak státním, tak privátním subjektům. Zejména udílí práv rganizacím prvádět audit a přípravu pr audit jiných právních subjektů pdle platných standardů a nrem (ISO, ČSN, EC apd.). Mezinárdní splupráce - ISO ISO je Mezinárdní rganizace pr nrmalizaci (Internatinal Organizatin fr Standardizatin) se sídlem v Ženevě, která byla zalžena v rce 1947. Zabývá se tvrbu, aktualizací a harmnizací mezinárdních nrem ISO a jiných druhů dkumentů (technických specifikací - TS, technických zpráv - TR a veřejně dstupných specifikací - PAS, dhd technických trendech TTA, dhd z pracvní knference průmyslu IWA, pkynů ISO apd.). ISO je světvu federací nárdních nrmalizačních rganizací, v sučasnsti má 156 členů, z th 100 řádných členů, 46 krespndenčních členů a 10 kandidátů na členství (stav k 31.12.2005). Členy ISO jsu jedntlivé nárdní nrmalizační rganizace, garantující nrmalizaci v příslušné zemi (v pdmínkách České republiky t je Český nrmalizační institut). Mezi základní pvinnstí členů patří infrmvat zainteresvané rgány a rganizace ve své zemi nvých nrmalizačních aktivitách, zajišťvat za danu zemi jedntné stanvisk k předkládaným dkumentům a finančně pdprvat činnst ISO. Členvé ISO mají práv (resp. jejich delegvaní zástupci) účastnit se prací v libvlné technické kmisi a vyknávat veškerá hlasvací práva, mhu být zvleni d Rady ISO a jsu zastupeni na Generálním zasedání ISO. 38
Petr Ducek Technické práce zabezpečuje 192 technických kmisí (TC), 541 subkmisí (SC) a 2188 pracvních skupin (WG) (stav k 31.12.2005). Na pracích technických kmisí je mžn se pdílet jak: aktivní členvé (P - členvé - participating members), kteří mají pvinnst účastnit se zasedání a hlasvat k dkumentům (případ České republiky v blasti bezpečnsti IS/ICT) neb jak pzrvatelé (O - členvé - bserver members), kteří dstávají pracvní dkumenty a mají práv, nikliv pvinnst, účastnit se zasedání a hlasvat. Pstupy pr technicku práci a pravidla pr zpracvání nrem jsu stanveny ve Směrnicích ISO/IEC v částech 1 a 2, vydání 2001 a v ddatku ISO - 1. vydání 2001. Oblast bezpečnsti IS/ICT je pkryta technicku kmisí JTC 1 (Jint Technical Cmmittee 1 Infrmatin Technlgy). Slžení jejich subkmisí je uveden v následující tabulce Tab. 1. ID subkmise Název Pznámka ISO/IEC JCT 1 SC 02 Cded character sets. SC 06 Telecmmunicatins and infrmatin exchange between systems. SC 07 Sftware and systems engineering. SC 17 Cards and persnal identificatin. SC 22 Prgramming languages, their envirnments and system sftware interfaces. SC 23 Digitally Recrded Media fr Infrmatin Interchange and Strage. SC 24 Cmputer graphics, image prcessing and envirnmental data representatin. SC 25 Intercnnectin f infrmatin technlgy equipment. SC 27 IT Security techniques. Bezpečnst IS/ICT SC 28 Office equipment. SC 29 Cding f audi, picture, multimedia and hypermedia infrmatin. SC 31 Autmatic identificatin and data capture techniques. SC 32 Data management and interchange. SC 34 Dcument descriptin and prcessing languages. SC 35 User interfaces. SC 36 Infrmatin technlgy fr learning, educatin and training. SC 37 Bimetrics. Tab. 1 Slžení JTC 1 Infrmační technlgie 39
Bezpečnst infrmačních systémů zákny a instituce V České republice jsu nrmativní práce z blasti bezpečnsti v blasti infrmačních technlgií realizvány na půdě Českéh nrmalizačníh institutu v Technické nrmalizační kmisi 20 (TNK 20 Infrmační technlgie). Technické nrmalizační kmise jsu dbrnými nrmalizačními rgány s celstátní půsbnstí, registrvanými, metdicky řízenými a krdinvanými Českým nrmalizačním institutem. ČNI zřizuje TNK na návrh zainteresvaných zájmvých blastí splečnsti a na základě dpručení příslušnéh nrmalizačníh výbru (Technickéh nrmalizačníh výbru neb Elektrtechnickéh nrmalizačníh výbru) ke kmplexnímu řešení všech tázek technické nrmalizace ve vymezeném rzsahu bru jejich půsbnsti. Činnst TNK je zalžena na principu zainteresvansti různých zájmvých blastí splečnsti na dsažení vzájemně prspěšných nrmalizačních řešení, a t frmu účasti pvěřených zástupců příslušných rgánů, rganizací a pdnikatelů v TNK, kteří uplatňváním pžadavků svých zájmvých blastí zabezpečují dsažení knsenzu v řešených nrmalizačních tázkách. Síť TNK je tevřená, průběžně se aktualizuje a dplňuje pdle ptřeb a pžadavků technické veřejnsti. TNK 20 byla zalžena 7.7.1993, jejím předsedu se stal Prf. RNDr. Jiří Vaníček, CSc. a tajemníkem se stal pracvník Českéh nrmalizačníh institutu Ing. Petr Wallenfels. Nrmalizace v blasti infrmačních technlgií, vymezená pr TNK 20, zahrnuje zpracvání zejména následujících prblémvých blastí: kódvané grafické subry znaků, telekmunikace a výměna infrmací mezi systémy, prpjení zařízení infrmačních technlgií, sftwarvé inženýrství, pružná magnetická média pr výměnu digitálních dat, kazety s ptickými disky pr výměnu infrmací, kancelářská zařízení na zpracvání dat, karty a identifikace sb, pčítačvá grafika a zpracvání brazu, správa dat, prgramvací jazyky, bezpečnstní techniky, ppis dkumentů a jazyky pr jejich zpracvání včetně slžených a hypermediálních dkumentů, uživatelská rzhraní, infrmační technlgie pr výuku, vzdělávání a šklení; zdravtnická infrmatika. V sučasné dbě zahrnuje TNK 20, p své refrmě prvedené na knci rku 2007 v blasti ISO, subkmise uvedené v následující tabulce Tab. 2. 40
Petr Ducek ID subkmise Název Pznámka ISO/IEC JCT 1 SC 02 Cded character sets SC 06 Telecmmunicatins and infrmatin exchange between systems SC 07 Sftware and systems engineering SC 24 Cmputer graphics, image prcessing and envirnmental data representatin SC 25 Intercnnectin f infrmatin technlgy equipment SC 27 IT Security techniques Bezpečnst IS/ICT SC 28 Office equipment SC 29 Cding f audi, picture, multimedia and hypermedia infrmatin SC 35 User interfaces Tab. 2 Slžení TNK 20 Infrmační technlgie - ISO Krmě th pracvní subkmise splupracují se subkmisemi pracujícími v rámci dalších TNK. Velmi úzká splupráce v blasti bezpečnsti infrmačních systémů je s TNK 42, zejména s ISO/TC 68/SC 7 Bankvnictví, ISO/TC 154, TC46/SC 4, TC 184/SC 4 a dalšími. Jak vznikají ISO nrmy? Prces schvalvání mezinárdních nrem ISO Příprava a zpracvání veškerých ISO nrem vychází z následujících hlavních principů: knsensus při zpracvání nrem je zhledňván širké spektrum názrů na daný prblém d výrbců, prdejců, uživatelů, přes různé skupiny zákazníků a klientů, testvací labratře, státní sektr až p vědecké a výzkumné rganizace, průmyslvé řešení mezinárdní nrma musí být pužitelná p celém světě jak nejlepší zkušensti a musí být přijatelná jak pr širký kruh průmyslvých splečnstí, tak i pr běžné uživatele, dbrvlnst mezinárdní standardizace je pd silným tržním tlakem a prt splupráce na řešení nrem je zalžena na dbrvlném zapjení se d prcesů tvrby, mtivvaným vlastními zájmy na trhu. Stupně zpracvání ISO nrem Mezinárdní nrmy jsu vyvíjeny v technických kmisích a subkmisích. Pr pstup jejich zpracvání byl dsuhlasen následující pstup: Fáze návrhu. Fáze přípravy. Fáze zpracvání v kmisích. 41
Bezpečnst infrmačních systémů zákny a instituce Fáze připmínkvání. Fáze dsuhlasení. Fáze publikace. Fáze návrhu první krk tvrby mezinárdní nrmy představuje prces dsuhlasení nutnsti vzniku nrmy nárdními nrmalizačními institucemi. Pracvní návrh nrmy (NWIP New Wrk Item Prpsal) včetně předpkládanéh harmngramu práce je zaslán P členům příslušné kmise neb subkmise. O NWIP hlasují všechny nárdní instituce. Návrh je přijat většinu hlasů a pkud se alespň 5 P členů chce aktivně zúčastnit práce na tmt návrhu. V takvém případě je jmenván dpvědný řešitel prjektu. Fáze přípravy - technická kmise, případně ve splupráci se subkmisí, jmenuje skupinu expertů včetně veducíh prjektu. Tat skupina pak připravuje pracvní verzi dkumentu (tzv. WD - Wrking Draft) při zapracvání připmínek v kmisi s cílem dsáhnut c nejlepšíh technickéh řešení a suladu navrženéh řešení s statními nrmami. Práce na dkumentu WD pkračuje tak dluh, dkud nejsu vyřešeny všechny připmínky, které jsu v rámci připmínkvéh řízení k nvé nrmě zasílány. Fáze zpracvání v kmisích - je zahájena v kamžiku, kdy je k dispzici první verze nrmy v úrvni CD (Cmmittee Draft). Ta je zaslána d centrálníh sekretariátu ISO, kde je registrvána a následně ji sekretariát ISO dešle P členům k hlasvání. Hlasvání prbíhá tak dluh, dkud není mezi P členy dsažen knsensu hledně dikce nrmy. Ptm je text nrmy zpracván d frmy DIS (Draft Internatinal Standard). Fáze připmínkvání DIS je ptm rzesílán jedntlivým P členům ke zpracvání kmentářů a hlasvání na dbu pěti měsíců. Je dsuhlasen d frmy FDIS (Final Draft Internatinal Standard), pkud k tmu dá suhlas 2/3 většina P členů kmise neb příslušné subkmise a pkud není více jak 1/4 hlasů záprných. Pkud nejsu splněna kritéria pr přijetí úrvně FDIS, je text vrácen půvdním zpracvatelům k dalšímu studiu a přípravě. Ptm je znva předlžen k hlasvání. Fáze dsuhlasení FDIS je rzeslán centrálním sekretariátem ISO všem P členům k závěrečnému hlasvání přijetí neb nepřijetí textu nrmy. Dba pr hlasvání je bvykle dva měsíce. Pkud přijdu v tmt bdbí závažné technické připmínky, nejsu zapracvány d nrmy, ale jsu připraveny pr její následnu buducí revizi. Nrma je přijata jak mezinárdní standard (IS Internatinal Standard) pkud jí akceptují 2/3 P členů a prti není více jak 1/4 hlasujících P členů. Pkud není standard dsuhlasen je předán pracvní skupině zpět k dpracvání. Fáze publikace Pkud je dsuhlasen znění mezinárdníh standardu a v připmínkách k němu jsu navrhvány puze ediční změny, je mezinárdní standard deslán d centrálníh sekretariátu ISO, který tent mezinárdní standard vydá. Maximální dba trvání celéh prcesu d fáze schválení návrhu až p dsuhlasení stupně Internatinal Standard je 36 měsíců. ISO d sučasnsti vydala více jak 16000 mezinárdních nrem na více než 620 000 stranách textu v anglickém a francuzském jazyce. 42
Petr Ducek Závěr Neustále rstucí závislst celé splečnsti na IS/ICT vytváří vzrůstající pžadavky na zajištění jejich splehlivsti a tím i důvěryhdnsti elektrnických platfrem. Vytvření systému řízení bezpečnsti IS/ICT v rganizacích je činnstí nárčnu jak na čas, tak na znalsti a schpnsti a v nepslední řadě i na finanční prstředky. Samtné zavádění bezpečnsti d rganizace může pr ní být prcesem velmi blestným, dluhdbým a také pměrně nákladným. Velmi čast připadá managerům, že se jedná investici vynalženu zbytečně a že by byl mžné prstředky - jak finanční, tak lidské - využít ku prspěchu rganizace lépe. Investice d bezpečnsti IS/ICT má však d určité míry charakter pjištění dkud se nic nestane, tak je zbytečná, ale jakmile se něc resp. ckli přihdí, pak je dslva a d písmene k nezaplacení. K samtnému zavádění a zavedení bezpečnsti d rganizace je ptřeba znalstí a schpnstí, které nejsu úplně běžně na trhu IS/ICT dstupné. Aby měly rganizace p celém světě přístup k takvým specializvaným znalstem, jsu základní mechanismy a zvyklsti blasti bezpečnsti IS/ICT ulženy d mezinárdních standardů (Ducek, Nvtný, 2007). V nich je ulžen knw-hw a nejlepší zkušensti - best practices, které vznikly na základě splupráce předních expertů z mnha zemí světa v blasti bezpečnsti IS/ICT nevymýšlejme t, c je již htvé. Ovšem k aplikaci sebelepších mezinárdních standardů je nutné přistupvat kreativně a ne mechanicky a zárveň je nezbytné umět je přizpůsbvat knkrétním pdmínkám rganizací, v nichž je chceme aplikvat. Pkud by manager bezpečnsti IS/ICT chtěl aplikvat například pr malu firmu nasazení všech dpručených rganizačních struktur tak, jak jsu uvedeny v mezinárdních standardech, vypadal by t jak by chtěl jít s kanónem na vrabce. Standardy mají sice celsvětvu platnst, ale specifika jedntlivých rganizací, firem, zemí a kultur musí vystihnut lkální dbrníci. Tím platnst mezinárdních standardů nejen ptvrdí, ale myšlenky v nich ulžené ještě zúrčí d větších efektů pr cílvu rganizaci. Literatura: Antlvá, K: Infrmační a znalstní pdpra malých a středních pdniků, In: Hradecké eknmické dny 2008, ISBN 978-80-7041-190-2 Dahlman, C.: China and India as Emerging Technlgical Pwers, In.: V. Knwledge Ecnmy Frum Prague, March 28-30, 2006 Delina, R., Vajda, V.: Teória a prax elektrnickéh bchdvania. TU-EkF, 2006, 150 s., ISBN 80-8073-452-6 Delina, R.: Budvanie dôvery na elektrnických bchdných platfrmách, Habilitační práce, Universita Hradec Králvé, Fakulta infrmatiky a managementu, 2008 Ducek, P., Nedmvá, L., Klas, J.: Integrated Management System in Infrmatin Sciety. Organizacija, 2006, rč. 39, č. 1, s. 16 27. ISSN 1318-5454 Ducek, P., Nvtný, O.: Standardy řízení pdnikvé infrmatiky, Standardy řízení pdnikvé infrmatiky. E+M. Eknmie a Management, 2007, rč. X, č. 3, s. 132 146. ISSN 1212-3609. 43
Bezpečnst infrmačních systémů zákny a instituce Drucker, P.: The Age f Discntinuity, Guidelines t Our Changing Sciety, Harper&Rw, 1992, ISBN 1-56000-618-8 Fukuyama, R.: The Trust: The scial Virtus and the Creatin f Prsperity, Hamish Hamiltn Ltd, 1992, Lndn, ISBN 0-241-13376-9 Kelly, K.: New Rules fr the New Ecnmy, Ten Radical Strategies fr the Cnnected Wrld. Penguin Grup, New Yrk USA, 1998. ISBN 067088111-2 Kunstvá, R.: Zákny a změny v infrmatice. Systémvá integrace, 2006, rč. 13, č. 4, s. 16 22. ISSN 1210-9479 Nvtný, O.: Cyklus článků: Měříme pdnikvu infrmatiku. Měření prvzu a služeb. IT Systems, 2005, rč. 7, č. 6-12. ISSN 1212-4567 Pstružina, K: Faust and the Prblems in e-ecnmics. Zadv 19.09.2001 21.09.2001. In: Hfer, Christian, Chrust, Gerhard (ed.). IDIMT-2001. Linz : Universitätsverlag Rudlf Trauner, 2001, s. 293 300. ISBN 3-85487-272-0. Svatá, V.: Cyklus článků s názvem: IS/IT kntrly v účetním výkaznictví. Interní auditr, 2006, rč. 10, č. 1, 3, 4, ISSN 1213-8274 Svatá, V.. Audit infrmačníh systému. 1. vyd. Praha : Oecnmica, 2005. 168 s. ISBN 80-245-0975-X. Weber, J.: Management kvality, envirnmentu a bezpečnsti práce. 1. vyd. Praha : Management Press, 2006. 358 s. ISBN 80-7261-146-1. Internetvské zdrje: pužité v únru rku 2008 www.cia.cz www.cni.cz www.is.rg www.mvcr.cz www.nbu.cz www.unmz.cz www.uu.cz 44