Sdělení ze dne 1.10.2002 pojem "informační systém" ve spojitosti se zákonem o ochraně utajovaných skutečností

1.10.2002 | Sbírka:  NB12/2002 | Částka:  2/2002ASPI

Vztahy

Nadřazené: 365/2000 Sb., 101/2000 Sb., 148/1998 Sb.
NB12/2002
Pojem "informační systém" ve spojitosti se zákonem o ochraně utajovaných skutečností
V době vydání zákona č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon"), byl v právním systému ČR zaveden pojem informační systém v zákoně č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Proto nebyla v zákoně o ochraně utajovaných skutečností uvedena definice informačního systému, pouze odkaz na definici uvedenou v zákoně o ochraně osobních údajů.
Nový zákon č. 101/2000 Sb., o ochraně osobních údajů, již pojem informační systém nezahrnuje a dotýká se obecně zpracování informací (v tomto případě osobních údajů) jak automatizovaně, tak jinými prostředky. Ukončení platnosti zákona č. 256/1992 Sb. znamenalo, že vymezení pojmu "informační systém" na určitou dobu zmizelo z našeho právního systému.
Tento pojem se objevuje znovu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy, v tomto případě je však definice uvedena slovy "pro účely tohoto zákona".
V Národním bezpečnostním úřadě (dále jen "NBÚ") se v současné době připravuje nový zákon o ochraně utajovaných skutečností. V tomto zákoně bude uvedena i definice pojmu komunikační a informační systém pro účely tohoto zákona, tedy bez ambicí stát se definicí obecně přijímanou i v jiných oblastech právního řádu.
Pojem "informační systém", používaný v současné době v zákoně, je nutno chápat v pojetí tzv. reálného systému definovaného v OSI referenčním modelu (ČSN EN ISO/IEC 7498-1), tedy jako množiny jednoho nebo více počítačů, s nimi spojeného software, periferních zařízení, terminálů, lidské obsluhy, fyzických procesů, prostředků pro přenos informací atd., které tvoří autonomní celek schopný provádět zpracování utajovaných informací nebo přenos utajovaných informací.
Informační systémy čistě listinného charakteru, které nevyužívají informačních technologií, podléhají požadavkům administrativní bezpečnosti a jejich certifikace NBÚ není vyžadována.
Rozsah hardware používaného pro provádění určité úlohy zpracování utajovaných informací není určujícím prvkem pro rozlišování, které systémy založené na informačních technologiích mají být považovány za informační systém a které nikoliv.
Tak je nutno za informační systém podléhající certifikaci NBÚ považovat i zpracování utajovaných skutečností softwarovými prostředky pro zpracování textové nebo obrazové informace nebo softwarovými prostředky pro zpracování informací v tabulkách a databázích, provozované na jediném samostatném osobním počítači.
Vzhledem ke specifikům osobních počítačů v oblasti bezpečnosti utajovaných informací je jim ve vyhlášce č. 56/1999 Sb. věnován zvláštní paragraf - § 19. Některé organizace a zejména orgány státu používají totiž pro zpracování utajovaných skutečností desítek nebo stovek osobních počítačů. Pro usnadnění řešení problematiky těchto malých informačních systémů umožňuje text odstavce (1) § 19 organizaci nebo orgánu státu zpracovat pro osobní počítače společnou bezpečnostní politiku. Množinu těchto osobních počítačů lze také pojmout jako jediný informační systém a zpracovat celou jeho bezpečnostní dokumentaci a systém zabezpečení jednotně.
Odstavec (2) § 19 pak vyjadřuje nutnost nahlížet na samostatný osobní počítač, na kterém jsou zpracovávány utajované skutečnosti, jako na informační systém a zároveň jako na nosič utajovaných skutečností. Význam tohoto odstavce je v to, že zakládá povinnost zabývat se ochranou utajovaných skutečností uložených, ať trvale nebo dočasně, na zabudovaných pevných discích osobních počítačů.
NBÚ uvedený obsah pojmu informačního systému prezentoval na mnoha seminářích o bezpečnosti informačních systémů, se zdůrazněním povinnosti provozovatele získat certifikát NBÚ i pro informační systémy založené na používání samostatných osobních počítačů.
V současné době je ve státní správě, na jednotlivých ministerstvech, certifikováno několik poměrně rozsáhlých informačních systémů sestávajících ze samostatných osobních počítačů. Rovněž v soukromém sektoru prošla úspěšně certifikací řada malých informačních systémů založených na jednom nebo několika samostatných osobních počítačích.
Na závěr uveďme pojetí pojmů "komunikační a informační systém" a "bezpečnost komunikačních a informačních systémů" pro účely navrhovaného nového zákona o ochraně utajovaných skutečností.
Komunikačním a informačním systémem nakládajícím s utajovanými skutečnostmi (dále jen "komunikační a informační systém") se pro účely tohoto zákona rozumí jeden nebo více počítačů, jejich programové vybavení, periferní zařízení, komunikační zařízení, personální obsluha, procesy nebo prostředky, které tvoří celek schopný provádět sběr, tvorbu, zpracování, ukládání, zobrazení a přenos utajovaných skutečností.
Bezpečnost komunikačních a informačních systémů je stav, kdy je zachována důvěrnost, integrita a dostupnost utajovaných skutečností, s nimiž tyto systémy nakládají, integrita a dostupnost systémových služeb a prostředků a odpovědnost uživatelů za jejich činnost v těchto systémech.
Bezpečnosti komunikačního a informačního systému se dosahuje uplatněním souboru opatření z oblasti počítačové, komunikační, fyzické, personální a administrativní bezpečnosti, kryptografické ochrany a vhodnými organizačními opatřeními. Přijatá opatření musí zajistit, aby rizika, kterým je komunikační a informační systém vybaven, byla snížena na přijatelnou úroveň.