Bezpečnost informačních systémů je jedno z vážných a aktuálních témat, kterým se dosud mnoho pozornosti nevěnovalo. Úřad pro veřejné informační systémy (ÚVIS) připravuje v této souvislosti důležité dokumenty. Proto jsme oslovili ředitele odboru metodiky informačních systémů veřejné správy Ing. Petrikovitse.

Jaké materiály ÚVIS k problematice bezpečnosti informačních systémů připravuje?

Především se jedná o metodický popis tvorby bezpečnostní politiky jednotlivých informačních systémů. To je dokument nejaktuálnější, který byl koncem roku předložen externím zpracovatelem, proběhla jeho interní oponentura a nyní se připravuje jeho nová podoba, která po připomínkovém řízení bude publikována. Předpokládáme, že na konferenci ISSS v Hradci Králové budeme moci o této metodice informovat podrobněji. V průběhu roku potom bude zpracováno několik základních standardů.

Můžete říci něco k obsahu metodiky?

Úvodní část se věnuje vymezení legislativního rámce v rámci informačních systémů veřejné správy -- jak a z čeho se vychází, proč se vlastně bezpečnost informačních systémů buduje. Další část je věnována otázkám administrativním a řídícím. Tady bych chtěl zdůraznit, že problematika bezpečnosti informačních systémů musí být prvořadě a velice vážně podporována nejvyšším top managementem každé instituce. Pokud to není splněno, potom veškeré úsilí odborných pracovníků není účinné.

Dříve než se začne budovat bezpečnostní systém, měl by se posoudit jeho rozsah, nejde přece o levnou záležitost?

Správně, proto další velká kapitola tvoří jádro celé bezpečnostní politiky. Je to analýza rizik informačních systémů. Pokusíme se popsat určitý seznam rizik nebo hrozeb, na které je potřeba se zaměřit a upozornit na to, jaká opatření by se mohla přijmout. Nejdůležitější jsou pochopitelně data, protože to je základní aktivum každé instituce. Samozřejmě, celé je to nakonec o penězích, protože bezpečnost bohužel není zadarmo. A čím vyšší bezpečnost, tak tím vyšší finanční náklady.

Mohl byste uvést některá typická riziková místa, kterými je třeba se v každé instituci zabývat?

Typický je přístup do budovy, přístup k informačnímu systému, přístup k datům. To jsou taková základní místa, kde může hrozit neoprávněný přístup. Vstup do budovy se řeší klasicky, ale pokud se někdo neoprávněný dostane do systému, nebo až k těm datům, které chráníme, potom je riziko velmi vysoké a musíme dělat opatření.

Jaké typy opatření můžeme uvést?

Standardní je použití uživatelského jména, přístupového hesla a s rozvojem čipových karet je tady další nástroj, který zvyšuje bezpečnost a snižuje riziko proniknutí do informačního systému. To jsou nejčastější opatření.

Dále je to určitá klasifikace informací nebo dat, které mám ve svém systému a jejich uživatelů. Stanovení, kdo z uživatelů nebo se zaměstnanců může k určité skupině dat. Správa sítě a bezpečnostní technik potom musí nastavit v systému definovaná opatření. Důležitým aspektem je kontrola nastavených pravidel a jejich případná korekce.

Existují i jiná rizika vedle hrozby zneužití dat neoprávněnou osobou?

Jsou to například technická nebo vnější rizika. Například napájení systému, což znamená zabezpečení zálohování nebo vytvoření náhradních zdrojů. Záleží na důležitosti informací, zda mají být dostupné apod. Typický přiklad vnějšího ohrožení jsou živelné pohromy. U významných a důležitých dat, se musí uvažovat o tzv. záložních pracovištích, které jsou fyzicky umístěny jinde atd.

Co bude cílem připravovaných standardů, které mají být rovněž vydány v průběhu tohoto roku?

Standardy naváží na metodiku a v podstatě závazně stanoví určité parametry, které by měly informační systémy v rámci veřejné správy dodržovat. Při jejich tvorbě chceme postupovat uvážlivě, neboť standardy veřejné správy (SVS) jsou pro orgány veřejné správy právně závazné a podléhají atestacím. Nedodržení stanovených termínů může být dokonce pokutováno. Orgánem veřejné správy je však i nejmenší obecní úřad, kde mnohdy finančních prostředků není nazbyt. Budeme při formulaci standardů muset postupovat opatrně, abychom nezpůsobili zbytečné potíže. Jakmile se uskuteční připojování i těch nejmenších obcí ke komunikační infrastruktuře veřejné správy, tak potom určitá míra bezpečnosti bude muset být zajištěna.

Můžete konkrétně určit čeho se standardy budou týkat?

Dneska neřeknu jaké standardy konkrétně vzniknou, protože to nám vyplyne z detailnější analýzy a z reakcí orgánů veřejné správy. Na konferenci ISSS budeme i o těchto otázkách informovat a nevylučuji, že nějaký výtah z tohoto dokumentu bude publikován ve sborníku.