Pojem bezpečnost ICT v českém právním řádu

Podobné dokumenty
Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Vysoká škola báňská TU Ostrava Fakulta elektrotechniky a informatiky Katedra obecné elektrotechniky NORMALIZACE V ČR

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

NAŘÍZENÍ VLÁDY. ze dne 9. prosince 2002, kterým se stanoví technické požadavky na výrobky z hlediska jejich elektromagnetické kompatibility

Věstník ČNB částka 5/2011 ze dne 7. června ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011

Informační systémy veřejné správy (ISVS)

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

ZÁKON 22/1997 Sb. O technických požadavcích na výrobky a o. A. Grošpic. A. Grošpic, IPVZ, AKK8 ZS

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

METODICKÉ POKYNY PRO AKREDITACI

Nové předpisy pro výrobu a zkoušení rozváděčů.

17/2003 Sb. NAŘÍZENÍ VLÁDY. kterým se stanoví technické požadavky na elektrická zařízení nízkého napětí

ZÁKON 22/1997 Sb. O technických požadavcích na výrobky a o. A. Grošpic. A. Grošpic, pro SV KI, ZS 2015, IPVZ 1

Politika bezpečnosti informací

MPN 4:2010 SPOLUPRÁCE S ETSI V OBLASTI TECHNICKÉ NORMALIZACE

(3) Toto nařízení se nevztahuje na zařízení a rádiové a elektrické rušení uvedené v příloze č. 2 k tomuto

Toxikologie a legislativa ČR a EU I

L 320/8 Úřední věstník Evropské unie

Legislativní opora. č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), (dále jen zákon ) č. 81/2006 Sb. Zákon.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Částka 4 ČÁST PRVNÍ OBECNÁ USTANOVENÍ

Praha PROJECT INSTINCT

17/2003 Sb. NAŘÍZENÍ VLÁDY

Zákon o kybernetické bezpečnosti a související předpisy

ČÁST TŘETÍ POŽADAVKY NA SUBSYSTÉMY. 6 Ověřování subsystému

SMĚRNICE DĚKANA Č. 4/2013

METODICKÉ POKYNY PRO AKREDITACI

Metodický pokyn Systém jakosti v oboru pozemních komunikací. Revize Technických kvalitativních

Metodický pokyn pro akreditaci

ZÁKAZNICKÝ DEN CQS. Uvádění výrobku na trh. 25. dubna 2013

226/2003 Sb. ZÁKON. Služby v oblasti BOZP a PO

obsahující údaje platné v době podání žádosti včetně informací o podaném návrhu na zápis do příslušné evidence, který nebyl ke dni podání žádosti

(3) Toto nařízení se nevztahuje na výbušniny, které jsou nabývány od výrobce s vyloučením distributora

Atestace informačních systémů veřejné správy. Vladimír Matějíček

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

PŘÍLOHA STANOVISKA č. 07/2013 AGENTURY EASA. NAŘÍZENÍ KOMISE (EU) č.../.. ze dne XXX,

Certifikační postup NBÚ aktualizace 2016

22/1997 Sb. ČR. Technické požadavky na výrobky. Hlava I. Úvodní ustanovení. Předmět úpravy

Aplikační doložka KA ČR Požadavky na zprávu auditora definované zákonem o auditorech

Oznámení o vyhlášení výběrového řízení na služební místo personálního ředitele sekce pro státní službu

PARLAMENT ČESKÉ REPUBLIKY POSLANECKÁ SNĚMOVNA. VII. volební období 989/2

Bezpečnostní politika společnosti synlab czech s.r.o.

Nařízení eidas v souvislostech. Ing.Robert Piffl. Poradce náměstka ministra vnitra pro ICT

Oznámení o vyhlášení výběrového řízení na služební místo náměstka ministra vnitra pro státní službu

ODŮVODNĚNÍ I. OBECNÁ ČÁST. Závěrečná zpráva z hodnocení dopadů regulace (RIA)

Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů

1 České právní předpisy upravující požadavky na požární bezpečnost staveb

Ověření spolehlivosti fyzických osob

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

N á v r h. NAŘÍZENÍ VLÁDY ze dne 2016 o lodní výstroji

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

VODÍTKA HODNOCENÍ DOPADŮ

II. METODICKÁ ČÁST 1

VLÁDA ČESKÉ REPUBLIKY

Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011

PRAKTICKÁ APLIKACE NAŘÍZENÍ O SPOLEČNÉ BEZPEČNOSTNÍ METODĚ (CSM)

Vnitřní předpisy zaměstnavatele

2006R2023 CS

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

INFORMACE O PRÁVECH A POVINNOSTECH V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Úvod - Podniková informační bezpečnost PS1-1

POŽADAVKY PLYNOUCÍ ZE SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2014/30/EU

NAŘÍZENÍ VLÁDY ze dne 30. března 2016 o posuzování shody vah s neautomatickou činností při jejich dodávání na trh

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

MPO poř. č. 5. Název legislativního úkolu

Předpis publikovaný ve Sbírce zákonů ČR

Bezpečnostní normy a standardy KS - 6

Úřední věstník Evropské unie

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra elektroenergetiky. Energetická rušení v distribučních a průmyslových sítích

Návrh. NAŘÍZENÍ KOMISE (ES) č.../... ze dne [ ]

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Proč potřebujete certifikaci v oblasti eidas? Ing. Jarmil Mikulík, náměstek pro zkušebnictví, vedoucí projektu eidas

1.1 Význam a cíl měření

členských států pro zařízení a ochranné systémy určené k použití v prostředí s nebezpečím výbuchu.

Oznámení o vyhlášení výběrového řízení na služební místo vedoucího Úřadu Rady pro rozhlasové a televizní vysílání

Energetický regulační úřad

Zákon o kybernetické bezpečnosti a související předpisy

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

ORGANIZAČNÍ SMĚRNICE. Analýza rizik. Příloha č 4 Směrnice k analýze rizik. Název:

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Co je riziko? Řízení rizik v MHMP

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Označení CE Ministerstvo pr ů pr myslu a obchodu

Ing. Martin Kruczek L 8 POŽADAVKY NA ODBORNOU KVALIFIKACI (VYHL. Č. 298/2005 SB.)

Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE

NAŘÍZENÍ VLÁDY ze dne 30. března 2016 o posuzování shody jednoduchých tlakových nádob při jejich dodávání na trh

Fyzická bezpečnost z hlediska ochrany utajovaných informací

NAŘÍZENÍ VLÁDY ze dne 25. března 2015 o technických požadavcích na aktivní implantabilní zdravotnické prostředky

Dlouhodobé řízení ISVS

Bezpečností politiky a pravidla

eidas stav k Ing.Robert Piffl poradce náměstka ministra

Závěr č. 13. ze zasedání poradního sboru náměstka ministra vnitra pro státní službu k zákonu o státní službě ze dne 10. března 2017.

Zákon o kybernetické bezpečnosti

Státní požární dozor - 31 zákona č. 133/1985 Sb., zákona o požární ochraně

Transkript:

Pojem bezpečnost ICT v českém právním řádu Prof. Ing. Vladimír Smejkal, CSc. soudní znalec v Praze Fakulta podnikatelská VUT v Brně člen Legislativní rady vlády ČR www.znalci.cz 1

Pojem bezpečnost jako notorieta Pojem bezpečnost je jedním z dnes nejčastěji užívaných termínů v teorii i praxi informačních a telekomunikačních systémů (dále také jen ICT). Je to ale notorieta? Chápou všichni tvůrci, provozovatelé a uživatelé informačních systémů bezpečnost stejně? Přitom právě pro oblast ICT je bezpečnost jedním zhlavních předpokladů a požadavků. Také začlenění bezpečnostních norem do právního řádu není zcela jednoduchou záležitostí. www.znalci.cz 2

Vymezení bezpečnosti ICT v právních předpisech Jak definovat bezpečnost ICT v českém právním řádu? Není vhodná obecná cesta - 415 ObčZ stanoví obecnou právní povinnost (generální prevenci), ukládající každému počínat si takovým způsobem, aby svým jednáním nezpůsobil škodu na zdraví, na majetku a na jiných hodnotách, bez ohledu na to, zda mezi poškozeným a škůdcem existuje právní vztah či nikoliv. Každý je podle 415 ObčZ povinen zachovávat vždy takový stupeň bedlivosti (pozornosti), který lze po něm vzhledem ke konkrétní časové a místní situaci rozumně požadovat. Zřejmě bychom těžko posuzovali, zda si dotyčný zachoval dostatečný stupeň bedlivosti v souvislosti s ICT. www.znalci.cz 3

Vymezení bezpečnosti ICT v právních předpisech Inspirovat se zákoníkem obchodním, který pracuje s formulacemi typu postupovat s péčí řádného hospodáře, asi také nepovede k cíli. O dobrých mravech, často posledním útočišti žalobců či žalovaných, ani nemluvě. Přesto některé cesty realizovatelné jsou. Kde a jakým způsobem je bezpečnost ICT vymezena v českých právních předpisech? www.znalci.cz 4

Pojem bezpečnost jako notorieta V českém právním řádu se pojem bezpečnost v souvislosti s ICT nachází cca v desítkách až stovkách zákonů a vyhlášek, jakož i v cca stovce, dílem již neplatných, výrazně podzákonných předpisů v různých věstnících, opatřeních, instrukcích a metodických pokynech. Až na výjimky se ale stále buď pohybujeme v definici kruhem, tj. buď s odkazy o nulové či nekonkrétní informační hodnotě, jakož i s odkazy vedoucí zase k jinde použité notorietě. www.znalci.cz 5

Pojem bezpečnost jako notorieta Pojem bezpečnost ICT lze chápat jako tzv. neurčitý právní pojem, tj. že se jedná o jev či skutečnost, které nelze přesně vymezit co do jejich obsahu a rozsahu. Obecná definice bezpečnosti ICT se v našem právním řádu nevyskytuje. A to nejen definování, co se bezpečností rozumí, ale také nastavení její požadované úrovně. www.znalci.cz 6

Definování bezpečnosti ICT Metrikou bezpečnosti je zpravidla nějaká norma či standard, která říká obvykle věty typu: Je-li vybaven ICT tímto a tímto, jedná se o bezpečný systém kategorie (třídy) XYZ. nebo jinak Chcete-li zabezpečit systém tak, aby splňoval požadavky na bezpečnost stanovené úrovně (a použít pro následné ověření příslušná kritéria pro hodnocení bezpečnosti ICT), musíte udělat toto a toto. www.znalci.cz 7

Normy pro bezpečnost ITS 1. základní bezpečnostní normy pro obecné použití bezpečnostní architektury; 2. funkční normy popisují jak se realizují požadavky vyplývající z obecných norem; 3. hodnotící normy pro hodnocení bezpečnosti (IS, produktů, postupů apod.), např. ITSEC, ITSEM, TCSEC; 4. speciální normy pro určitou činnost (telekomunikace) nebo pro určité odvětví, obor, uživatele (veřejnou správu, armádu, finanční instituce, zpracování osobních údajů apod.). normy ovšem nejsou normami. www.znalci.cz 8

Definování bezpečnosti ICT Vněkterých právních předpisech najdeme ustanovení, která buď o bezpečnosti obecně hovoří, nebo se odkazují na prováděcí předpis. buď není vydán, nebo je nevhodný či přímo legislativně nepřijatelný. www.znalci.cz 9

Definování bezpečnosti ICT Používání odkazů na zahraniční dokumenty, a to převážně, ale nikoliv jen technické normy, mohou přispět k ujasnění a standardizaci ICT a jejich bezpečnosti. Ale i kdyby byly určité bezpečnostní požadavky v těchto dokumentech popsány, samo jejich neprovedení tímto způsobem nemůže zakládat protiprávní jednání. www.znalci.cz 10

Definování bezpečnosti ICT To by bylo možné jen tehdy, pokud by technická norma byla přímo součástí právního předpisu. právní předpis je buď zákon nebo na základě zmocnění vydaný prováděcí předpis (vyhláška nebo nařízení vlády) NIC JINÉHO! www.znalci.cz 11

Technické předpisy Podle 3 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, se technickým předpisem rozumí právní předpis, obsahující technické požadavky na výrobky, popřípadě pravidla pro služby atd. právní předpis musí být vyhlášený ve Sbírce zákonů = vyhláška nebo nařízení vlády. www.znalci.cz 12

Technické předpisy Podle 4 česká technická norma, je dokument schválený pověřenou právnickou osobou pro opakované nebo stálé použití, vytvořený podle tohoto zákona a označený ČSN, jehož vydání bylo oznámeno ve Věstníku Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví (ÚTNMSZ). Česká technická norma poskytuje pro obecné a opakované používání pravidla, směrnice nebo charakteristiky činností nebo jejich výsledků zaměřené na dosažení optimálního stupně uspořádání ve vymezených souvislostech. Česká technická norma není obecně závazná. www.znalci.cz 13

Technické předpisy K technickým právním předpisům jsou v rámci ES vydávány harmonizované evropské normy. Při jejich splnění se má za to, že výrobek odpovídá příslušným obecným ustanovením technického předpisu. Pro specifikaci technických požadavků, vyplývajících z nařízení vlády nebo jiného předpisu vydaného na základě zákona, může ÚTNMSZ po dohodě s ministerstvy a jinými ústředními správními úřady, určit české technické normy, další technické normy nebo technické dokumenty mezinárodních, popř. zahraničních organizací, nebo jiné technické dokumenty, obsahující podrobnější požadavky (určené normy). www.znalci.cz 14

Technické předpisy Jde vlastně o nabídku technického řešení, která nemusí být využita, případnou odpovědnost za škody vzniklé řešením, které je odchylné od harmonizované normy ale nese ten, kdo nesplnil požadavky obecně formulovaného technického předpisu. Obdobný právní význam nyní mají harmonizované ČSN (přebírající či realizující normy ES). www.znalci.cz 15

Technické předpisy Povinné užití české technické normy pro oblast bezpečnosti ITS by sice bylo možné, ovšem vyžadovalo by to řešení spočívající v tom, že bezpečnost ITS by byla upravena nějakým zákonem, který by jako závazný právní předpis uvedl konkrétní normy, které mají být dodrženy, nebo provedl zmocnění pro nařízení vlády nebo vyhlášku. řešeno např. novelou zákona o ISVS pro oblast inf. systémů veřejné správy www.znalci.cz 16

Definování bezpečnosti ICT Existují dvě možnosti, jak postupovat: 1. zařadit tyto normy do soustavy norem ČSN a vydat je v českém jazyce; 2. vydat je plným textem v rámci určité podzákonné normy, tj. vyhlášky nebo nařízení vlády, čímž se stane norma závaznou. Bohužel praxe Českého normalizačního institutu je z tohoto pohledu zcela nevhodná: vydávají se texty norem v angličtině, s českou předmluvou zanedbatelného rozsahu viz např. ČSN/ISO IEC 17799 v roce 2001 (česky vyšla až 5 let poté). www.znalci.cz 17

Příklad: právní předpisy vztahující se k bezpečnosti ITS v bankách Právní úprava vyplývá ze zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů : Podle 41 odst. 1 ČNB koordinuje rozvoj bankovního informačního systému v České republice. Za tím účelem právním předpisem stanoví zásady bankovního informačního systému. www.znalci.cz 18

Právní předpisy vztahující se k bezpečnosti ITS v bance Prováděcí předpisy ČNB: Opatření České národní banky č. 2 ze dne 3. února 2004 k vnitřnímu řídicímu a kontrolnímu systému banky opatření stanoví požadavky na vnitřní řídicí a kontrolní systém banky včetně požadavků na interní audit a řízení rizik, požadavky stanovené tímto opatřením přiměřeně upraví banka ve své předpisové základně. www.znalci.cz 19

Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení: 3 odst. 4 - Veškeré rozhodovací procesy a kontrolní činnosti musí být zpětně rekonstruovatelné (vysledovatelné). K naplnění tohoto požadavku banka vytvoří odpovídající systém archivace dokumentů a dat. www.znalci.cz 20

Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení - 8 : (4) V bance je prováděna odděleně správa informačních systémů od vyhodnocování bezpečnostních auditních záznamů, kontroly přidělování přístupových práv a vypracování a aktualizace bezpečnostních předpisů pro tyto systémy. (5) Banka zajistí oddělené zajišťování vývoje a provozu informačních systémů. (6) Interní audit musí být vykonáván nezávisle na veškerých výkonných činnostech banky. www.znalci.cz 21

Právní předpisy vztahující se k bezpečnosti ITS v bance Klíčová ustanovení - 16 : Všechny nově zaváděné informační systémy musí splňovat podmínky uvedené v příloze č. 4, čl. VI, odst. 3. Informační systémy zakoupené či instalované před platností tohoto opatření, které nevyhovují požadavku přílohy č. 4, čl. VI, odst. 3 banka upraví nebo nahradí vyhovujícími nejpozději do tří let od platnosti tohoto opatření. ČNB může na žádost banky tuto lhůtu prodloužit na pět let. www.znalci.cz 22

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: I) Řízení informačních systémů (1) Banka přijme strategii rozvoje informačních systémů a postupy pro naplňování této strategie. (2) Banka přijme bezpečnostní politiku informačních systémů. (3) Bezpečnostní politika informačních systémů obsahuje: a) cíle bezpečnosti informačních systémů, b) hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací, c) odpovědnosti za ochranu aktiv a plnění bezpečnostní politiky informačních systémů. www.znalci.cz 23

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: (4) Banka zabezpečí, aby strategie rozvoje a bezpečnostní politika informačních systémů byly pravidelně vyhodnocovány a případně upravovány. (5) Banka zabezpečí dodržování bezpečnostní politiky v jednotlivých informačních systémech. (6) Banka uzavře písemnou formou smluvní vztahy s poskytovateli služeb a produktů pro informační systémy. www.znalci.cz 24

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: II) Analýza rizik (1) Banka musí provést analýzu rizik spjatých s informačními systémy. V ní definuje aktiva informačních systémů, hrozby, které na ně působí, zranitelná místa informačních systémů, pravděpodobnost realizace hrozeb a odhad jejich následků a protiopatření. (2) Banka pravidelně provádí aktualizaci analýzy rizik. www.znalci.cz 25

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: III) Bezpečnost přístupu k informacím Banka zabezpečí: a) přidělení přístupových práv uživatelům v informačních systémech; b) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet aktivitám uživatelů v informačních systémech, c) přístup k informacím v informačních systémech pouze uživateli, který byl pro tento přístup autorizován, d) ochranu důvěrnosti a integrity autentizační informace, www.znalci.cz 26

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: III) Bezpečnost přístupu k informacím e) zaznamenávání událostí, které ohrozily nebo narušily bezpečnost informačních systémů, do bezpečnostních auditních záznamů, ochranu těchto záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením, a jejich archivaci, f) vyhodnocování bezpečnostních auditních záznamů pracovníkem, který nemá možnost modifikovat v informačních systémech informace související s činností, o které je bezpečnostní auditní záznam pořízen. www.znalci.cz 27

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: IV) Bezpečnost komunikačních sítí (1) Připojení sítě, která je pod kontrolou banky, k vnější komunikační síti, která není pod kontrolou banky, musí být zabezpečeno tak, aby byla minimalizována možnost průniku do informačních systémů. (2) Banka zabezpečí, aby při přenosu důvěrných informací vnější komunikační sítí byla zajištěna: a) adekvátní důvěrnost a integrita informací, b) spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikačních a autentizačních informací. www.znalci.cz 28

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: V) Fyzická bezpečnost informačních systémů Na základě analýzy rizik zavede banka opatření pro fyzickou ochranu aktiv informačních systémů. www.znalci.cz 29

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: VI) Provozovaní informačních systémů (1) Při provozování informačních systémů musí být pravidelně prověřována a vyhodnocována jejich bezpečnost. (2) Změnu v informačních systémech je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačních systémů. (3) V provozovaných informačních systémech může být používáno pouze otestované programové vybavení, u kterého výsledky testů prokázaly, že bezpečnostní funkce jsou v souladu s bezpečnostní politikou informačních systémů. Výsledky testů musí být dokumentovány. www.znalci.cz 30

Právní předpisy vztahující se k bezpečnosti ITS v bance Příloha č. 4 - Požadavky na informační systémy: VI) Provozovaní informačních systémů (4) Servisní činnost v provozovaných informačních systémech se musí organizovat tak, aby bylo minimalizováno ohrožení jejich bezpečnosti. (5) Banka zabezpečí zálohování informací a programového vybavení informačních systémů významných pro její fungování. Zálohované informace a programové vybavení musí být uloženy tak, aby byly zabezpečeny proti poškození, zničení a krádeži. www.znalci.cz 31

Bezpečnost ISVS Definována zákonem č. 365/2000 Sb. o ISVS Podle ust. 5b Bezpečnost informačních systémů veřejné správy platí: (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům. www.znalci.cz 32

Bezpečnost ISVS Podle 12 písm. e) Ministerstvo informatiky (dnes vnitra) stanoví vyhláškou požadavky na strukturu a obsah informační koncepce, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy podle 5a odst. 1, g) rozsah zajišťování bezpečnosti informačních systémů veřejné správy a oblasti minimálních bezpečnostních požadavků k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací podle 5b odst. 1. www.znalci.cz 33

Bezpečnost ISVS K vydání prováděcího předpisu o bezpečnosti k zákonu o ISVS došlo až vyhl. č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy, účinnou 1.1.2007. www.znalci.cz 34

Bezpečnost ISVS Tato vyhláška mj. definuje dlouhodobé cíle v oblasti řízení bezpečnosti a požadavky na strukturu provozní dokumentace včetně bezpečnostní dokumentace, je psána dostatečně obecně a obsahuje pouze jeden odkaz na normu, a to českou technickou normu ČSN ICTO/IEC 15288, navíc jen příkladmo. vhodný postup! www.znalci.cz 35

Bezpečnost ICT v oblasti utajovaných informací Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve svém 5 písm. e) říká, že bezpečnost informačních nebo komunikačních systémů tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému. Dále Hlava VI. zákona a prováděcí předpis. www.znalci.cz 36

Bezpečnost ICT v oblasti utajovaných informací Vyhl. č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor, neobsahuje žádné odkazy na zahraniční dokumenty či technické normy. Ani vyhl. č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací a č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací. www.znalci.cz 37

Bezpečnost ICT v oblasti elektronického podpisu Definováno zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, a to vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb. www.znalci.cz 38

Bezpečnost ICT v oblasti elektronického podpisu Podle ust. 6 odst. 1 zákona je kvalifikovaný poskytovatel certifikačních služeb povinen ad c) používat bezpečné systémy a bezpečné nástroje elektronického podpisu, zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují, a zajistit dostatečnou kryptografickou bezpečnost těchto nástrojů; systémy a nástroje jsou považovány za bezpečné, pokud odpovídají požadavkům stanoveným tímto zákonem a prováděcí vyhláškou, nebo pokud splňují požadavky technických norem uvedených v rozhodnutí Komise vydaném na základě článku 3 (5) směrnice 99/93/ES, www.znalci.cz 39

Bezpečnost ICT v oblasti elektronického podpisu Ve vyhlášce č. 378/2006 Sb. jsou konkrétně, ale současně technologicky nezávislým způsobem popsány pojmy jako bezpečnostní dokumentace, bezpečný kryptografický modul, požadavky na bezpečné systémy, kontrola bezpečnostní shody, audit systému řízení bezpečnosti informací apod. Problém snad jen v příloze č. 1, kde se pracuje se seznamem norem a standardů (včetně zahraničních CWA a FIPS PUB). www.znalci.cz 40

Bezpečnost ICT v oblasti elektronického podpisu Negativním příkladem jsou některé části vyhl. č. 496/2004 Sb., o elektronických podatelnách, vycházející pouze ze zahraničních, u nás oficiálně nepublikovaných norem, jak je uvedeno výše. www.znalci.cz 41

Vhodné řešení Koncepce: 1. zákon (se správným zmocněním) 2. prováděcí předpis (technický předpis) 3. obsahující odkaz na technickou normu, dostupnou v ČR. www.znalci.cz 42

Příklad Zákon č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů, podle kterého určené výrobky mohou výrobci nebo dovozci uvést na trh nebo, stanoví-li tak nařízení vlády, mohou být tyto výrobky uvedeny do provozu, jen splňují-li technické požadavky stanovené podle 12 odst. 1 písm. b) nařízeními vlády a po posouzení shody podle 12 odst. 3 zákona. www.znalci.cz 43

Příklad Např. v souvislosti s elektromagnetickou kompatibilitou bylo vydáno nařízení vlády č. 18/2003 Sb: Podmínky uvedené v odst. 1 se považují za splněné, pokud je přístroj ve shodě a) s harmonizovanými českými technickými normami, popřípadě zahraničními technickými normami přejímajícími v členských státech Evropské unie harmonizované evropské normy ( 4a zákona), nebo b) s určenými normami ( 4a zákona) zahrnujícími české nebo zahraniční technické normy, které byly pro tento účel oznámeny Komisí Evropských společenství, v případě, že v příslušné oblasti normy podle písmene a) neexistují. Zde tedy odkazy na zahraniční normy jsou využívány, ale pouze v rámci ES. www.znalci.cz 44

Závěr Otázka přípustnosti a míry použití zahraničních norem v českých právních předpisech není zcela jasná, a to jak z hlediska ústavní konformnosti, tak z hlediska obecných požadavků na právní předpisy. Požaduje se, aby právní norma byla ve svém vyjádření přesná a srozumitelná. www.znalci.cz 45

Závěr Otázka srozumitelnosti se ale klade i z hlediska srozumitelnosti jazyka, v němž byl právní předpis vydán. Nerozumí-li někdo tomuto jazyku, platí přirozeně zásada, že neznalost zákona neomlouvá. Pokud ale dochází v rámci právního řádu jednoho státu k vytváření řetězců odkazů, končících u zahraničního, v českém jazyce oficiálně nepublikovaného znění, lze mít jisté pochybnosti. Chybí informativnost práva. www.znalci.cz 46

Závěr Problematika právního vymezení bezpečnosti ICT v českém právním řádu není triviální, a to zejména v případech, kdy bude správním orgánem nebo soudem posuzováno, zda došlo k zanedbání či přímo porušení bezpečnosti ICT. Zatímco z hlediska budování IS je možné postupy, vycházející ze zahraničních norem či dokonce odborných publikací akceptovat, v rámci soudních a správních řízení to bude činit problémy. www.znalci.cz 47

Literatura Smejkal, V., Rais, K. Řízení rizik. 2. vydání. Praha : GRADA, 2006, 350 stran Smejkal, V. a kol. Právo informačních a telekomunikačních systémů. 2. vydání. Praha : C. H. Beck 2004, 860 stran Mates, V., Smejkal, V.: E-government v českém právu. 1. vydání. LINDE, Praha 2006. Smejkal, V., Švestka, J. Odpovědnost za škodu při provozu informačního systému, aneb nemalujme čerta na zeď. Právní rozhledy, XIII., 2005, č. 19, s. 719-721. www.znalci.cz 48

Kontakt: www.znalci.cz Děkuji za pozornost. www.znalci.cz 49

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář