Požadavky na řízení bezpečnosti informačních systémů veřejné správy stanovuje vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy.
Vyhláška požaduje stanovení bezpečnostních cílů minimálně pro čtyři skupiny aktiv: data (informační aktiva); technické prostředky (hardwarová aktiva, fyzická aktiva); programové prostředky (softwarová aktiva); služby, které jsou prostřednictvím informačních systémů poskytovány.
Nyní se budeme věnovat skupině dat a služeb (text navazuje na článek IT: Rozhoduje i bezpečnostní rozměr, v němž se popisují postupy pro skupinu technických a programových prostředků, MO č. 8/2007, str. 14 - pozn. redakce).
VYJÍT Z JEDNOTLIVÝCH ČINNOSTÍ
Nejdůležitější při identifikaci dat je rozhodnuti o její detailnosti v informačních systémech. Data můžeme identifikovat až na jednotlivé datové prvky (například jméno, příjmení, rodné číslo atd.). V rámci jednotlivých agend úřady pracují s velkým množství datových prvků, ale postup práce s nimi ve stejné agendě bývá stejný. Proto detailní identifikace dat je zbytečná. Jako optimální se v praxi ukázala identifikace dat podle jednotlivých činností úřadu.
Výstupem identifikace je seznam informačních aktiv jednotlivých odborů úřadu. Tabulka s ukázkou identifikovaných a klasifikovaných dat ve sloupci "Data (informační aktiva)" obsahuje příklad identifikovaných dat finančního odboru.
Po identifikaci dat můžeme přistoupit k jejich klasifikaci. Data jsou ve veřejné správě ukládaná na více místech, takže jejich ztrátou při poruše technického zařízení vznikají veřejné správě zanedbatelné škody. Zaměstnanci úřadu většinou v rámci svých standardních pracovních činnosti data po opravě zařízení opět nahrají. Proto při stanovení rizika a hledání bezpečnostních opatření není vhodné vycházet z odhadu škody, která ze ztráty dat vznikne, ale vhodnější je stanovit požadavky na jednotlivé charakteristiky bezpečnosti dat, tj. důvěrnost, integritu a dostupnost. Tyto požadavky lze snadno určit odvozením z požadavku legislativy upravující danou agendu (například ze zákona o ochraně osobních dat, obchodního zákoníku, zákona o právu na informace, stavebního zákona atd.).
DATA A KLASIFIKAČNÍ STUPNĚ
Po určení klasifikačních stupnic je nutné určit pravidla pro zařazení dat do klasifikačních stupňů. Informace se klasifikuje:
do stupně chráněné, pokud její vyzrazení, chybné použití nebo přístup neoprávněné osoby k ní, a to i uvnitř organizace, mohou ohrozit či ztížit činnost úřadu nebo způsobit újmu fyzické nebo právnické osobě, která informaci poskytla, nebo jíž se informace týká.
do stupně pro vnitřní potřebu, pokud svým obsahem nespadá do stupně chráněné a nespadá do stupně určené ke zveřejnění.
do stupně určené pro zveřejnění, pokud jde o informaci, kterou je úřad povinen zveřejnit podle zvláštního zákona, například zákona č. 106/1999 Sb., o svobodném přístupu k informacím, nebo o informaci, o jejímž zveřejnění úřad rozhodne (tisková prohlášení, informativní materiály, nabídky pracovních příležitostí apod.).
do stupně vysoké požadavky na integritu, pokud její ztráta nebo nepravdivá modifikace může ohrozit či ztížit činnost úřadu nebo způsobit újmu fyzické nebo právnické osobě, která informaci poskytla, nebo jíž se informace týká.
do stupně standardní požadavky na integritu, pokud její ztráta nebo nepravdivá modifikace nemůže ohrozit či ztížit činnost úřadu nebo způsobit újmu fyzické nebo právnické osobě, která informaci poskytla, nebo jíž se informace týká.
do stupně vysoké požadavky na dostupnost, pokud její dostupnost s prodlevou může ohrozit či ztížit činnost úřadu nebo způsobit újmu fyzické nebo právnické osobě, která informaci poskytla, nebo jíž se informace týká.
do stupně standardní požadavky na dostupnost, pokud její dostupnost s prodlevou nemůže ohrozit či ztížit činnost úřadu nebo způsobit újmu fyzické nebo právnické osobě, která informaci poskytla, nebo které se informace týká.
Pro jednotlivé klasifikační stupně je vhodné určit jednoduchá a všem zaměstnancům srozumitelná pravidla práce s nimi.
PŘÍKLAD VÝPOČTU RIZIKA
Uveďme příklad stanovení pravidla práce s chráněnou informací: Informace chráněná je určena jen pro určitého konkrétního pracovníka. To znamená, že s touto informaci není oprávněn se seznamovat jiný pracovník. U této informace se stanoví důvody a z nich vyplývající doba, po kterou je informace chráněná, nebo skutečnost, která musí nastat (například datum projednání) a klasifikace, na niž se ochrana sníží po uplynutí stanoveného času nebo poté, co nastane podmiňující skutečnost.
Pro výpočet rizika jsme opět použili nejjednodušší matematickou operaci, tedy součet:
Výpočet rizika pro informační aktiva: Riziko = dostupnost + důvěrnost + integrita + hrozba/zranitelnost.
Výpočet rizika po přijetí opatření: Riziko po přijetí opatření = riziko - opatření.
Poskytování služeb přes internet může upoutat větší pozornost hackerů a zvýšit pokusy o prolomení bezpečnosti. Informační služba poskytovaná prostřednictvím informačního systému veřejné správy občanům se skládá (stejně jako interní informační služba úřadu) z dat, technických a softwarových prostředků. Jak pracovat s těmito skupinami, jsme již popsali. Norma ISO 20000 Managementu služeb IT, která řeší kvalitu a bezpečnost informačních služeb, obsahuje kapitolu Management bezpečnosti informací, v níž se odkazuje na použití normy ISO 27001, ze které vychází i tento příspěvek.
Využijete-li při řízení bezpečnosti postupy, které jsme doporučili (MO č. 3., 6 a 8/2007), vyřešením tří předcházejících skupin (dat, technických a softwarových prostředků) zajistíte i bezpečnost informačních služeb poskytovaných občanům.
DANIEL KARDOŠ
externí posuzovatel ČIA
Identifikovaná a klasifikovaná data finančního odboru (ukázka)