Utajované informace v informačních systémech

Plánuje-li vaše firma poskytovat služby a produkty v oblasti, kde je podmínkou přístup k utajovaným informacím (UI), měli byste na tuto změnu připravit nejen své zaměstnance, ale též informační systémy.

Utajované informace v informačních systémech


Podmínky pro přístup k UI a další požadavky na jejich ochranu jsou upraveny zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen zákon). Zákon definuje tzv. „druhy zajištění ochrany UI“ a říká, že ochrana UI je zajišťována personální, průmyslovou, administrativní a fyzickou bezpečností­, a dále bezpečností informačních nebo komunikačních systémů a kryptografickou ochranou (www.nbu.cz).

Rozhodování a příprava

Už při prvním seznámení lze tušit, že podnikatel musí předem realizovat komplex nákladných a časově náročných bezpečnostních opatření. Při rozhodování o tomto směru rozvoje proto nejprve analyzujte a zhodnoťte, zda může být vaše podniká­ní v této oblasti dostatečně rozsáhlé, aby příjmy pokryly počáteční i průběžné náklady na zákonem vyžadovaná bezpečnostní opatření. K minimalizaci nutných nákladů na zabezpečení současně analyzujte nutný rozsah přístupu k UI.

V první řadě byste ale měli zvážit, zda jste schopni pro svůj podnik zajistit tzv. „osvědčení podnikatele“. NBÚ vydá osvědčení jen takovému podnikateli, který je ekonomicky stabilní, bezpečnostně spolehlivý, je schopen zabezpečit ochranu UI, a tzv. odpovědná osoba (podnikající fyzická osoba, viz zákon) a prokuristé jsou držiteli platného oznámení resp. osvědčení fyzické osoby minimálně pro ten stupeň utajení, o který chcete žádat.

Prvním krokem je zajistit potřebné oznámení resp. osvědčení fyzické osoby pro odpovědnou osobu (je opatřením v oblasti personální bezpečnosti). To ve všech případech vydává NBÚ.  Druhým krokem je získání osvědčení podnikatele (je opatřením v oblasti průmyslové bezpečnosti). Zde musí podnikatel prokázat způsobilost zabezpečit jednotlivé druhy zajištění ochrany UI v závislosti na příslušném stupni utajení a formě výskytu UI (uvádí se v žádosti o vydání osvědčení podnikatele). Tuto ochranu pak musí být schopen trvale zajistit a dodržovat.

Stanovení rozsahu přístupu k utajovaným informacím

Relativně jednoduchá situace je v těch případech, kdy podnikatel má mít přístup k UI, která u něho nevzniká, ani mu není poskytována, ale ke které mají přístup zaměstnanci podnikatele nebo osoby jednající jeho jménem, a to v souvislosti s výkonem pracovní nebo jiné činnosti na základě smlouvy. V takovém případě podnikatel zajišťuje ochranu UI pouze personální bezpečností. Krátce řečeno to znamená ten případ, kdy se zaměstnanci podnikatele seznamují s UI pouze u zákazníka a tam je také zpracovávají a ukládají.

Jedná-li se o přístup k UI stupně utajení Vyhrazené (nejnižší stupeň), tak splnění podmínek personální bezpečnosti ověřuje a oznámení fyzické osobě (svému zaměstnanci) vydává příslušná odpovědná osoba nebo jí určená osoba. Pokud se jedná o přístup k UI Důvěrné, Tajné nebo Přísně tajné, tak splnění podmínek personální bezpečnosti ověřuje a osvědčení fyzické osobě vydává NBÚ. Před přístupem k UI musí být osoba ještě stanoveným způsobem poučena.

Složitější situace nastává v případě, že podnikatel při své činnosti musí mít přístup k UI, která u něho vzniká nebo je mu poskytnuta. Srozumitelněji řečeno, jsou to případy, kdy podnikatel je oprávněn přijímat UI a jeho zaměstnanci je projednávají, vytvářejí, zpracovávají a ukládají (např. utajovanou projektovou dokumentaci) v prostorách podnikatele. Pro tento případ musí podnikatel ke své žádosti dodat NBÚ také dokumentaci k dalším druhům zajištění ochrany UI. Jako minimum jsou to „Směrnice administrativní bezpečnosti společnosti…“ a „Projekt fyzické bezpečnosti…“. Uplatnění opatření stanovených těmito dokumenty kontroluje NBÚ na místě, a tam, kde jsou řádně realizována, vydává souhlas o jejich shodě, resp. je schvaluje.

Náročnost zajištění bezpečnosti se potom prohlubuje s rostoucím stupněm utajení, s nutností zpracovávat UI Evropské unie a/nebo UI NATO a s nutností zpracovávat a ukládat UI v elektronické formě.

UI v informačních systémech

Používání IT řeší zákon a vyhlášky pod hlavičkou „bezpečnost informačních a komunikačních systémů“ (dále jen IS a KS). NBÚ vyšel vstříc provozovatelům IS a vydal pro ně metodiku „Minimální obsah bezpečnostní dokumentace pro malé IS“. Ty IS, pro které není metodika určena, již musejí postupovat striktně podle zákona a příslušných vyhlášek. Pro všechny IS (malé i ty ostatní) ale zákon jednotně stanovuje, že „nakládat s UI lze pouze v IS, který byl certifikován NBÚ (pozn. má platný certifikát) a byl písemně schválen do provozu odpovědnou osobou“. Příslušná vyhláška však neřeší jen počítače, ale i kopírovací zařízení, zobrazovací zařízení nebo psací stroj s pamětí.

Za zmínku nakonec stojí i skutečnost, že IT jsou zdroji parazitního elektromagnetického vyzařování, které potenciálně může být zachyceno, analyzováno a využito k získání informace. Pro IT, které jsou určeny ke zpracování informací vyšších stupňů utajení, stanoví zákon opatření na ochranu utajo­vaných informací před jejich únikem tzv. kompromitujícím elektromagnetickým vyzařováním. Pro podnikatele může proto být významný i výběr objektu a lokality, ve které zamýšlí vybudovat svůj IS.





Komentáře