Všetky firmy, ktoré prevádzkujú databázy s osobnými údajmi, by už v súčasnosti mali mať vypracovaný bezpečnostný projekt, v ktorom sa opisuje spôsob ochrany údajov pred zneužitím. Prikazuje im to zákon č. 428/2002 Z.z. o ochrane osobných údajov v informačných systémoch, ktorý vstúpil do platnosti v septembri minulého roka.

Podľa spracovávateľov projektov však väčšina firiem polročné prechodné obdobie „prespala“, mnohé si dokonca ani neuvedomujú vážnosť situácie. Za chýbajúci projekt môže Úrad na ochranu osobných údajov (ÚOOÚ) vymerať sankciu až 10 miliónov korún.

Mnohé firmy sa o povinnosti vypracovať bezpečnostný projekt dozvedeli od dodávateľov technológií a konzultačných spoločností. „Sú aj takí, ktorí si presne uvedomujú možné následky zákona na život firmy a prichádzajú s konkrétnymi požiadavkami na projekt,“ hovorí riaditeľ pre technické a systémové produkty Softipu, a.s., Banská Bystrica Roman Stadtrücker.

Prostredníctvom bezpečnostných projektov si prevádzkovatelia často riešia aj modernizáciu informačných systémov. „Ide o vďačný impulz pre vedenie smerom ku komplexnému riešeniu bezpečnosti databáz a informačných systémov,“ tvrdí riaditeľ konzultačnej firmy Gordias, s.r.o., Bratislava Ivan Kopáčik.

Nový zákon o ochrane osobných údajov tak znamenal aj požehnanie pre dodávateľov bezpečnostných technológií. Podľa produktového manažéra Tronetu, a.s., Bratislava Stanislava Hrdu sa jeho vstup do platnosti prejavil okamžitým nárastom záujmu firiem o bezpečnosť informačných systémov.

Vo vlastnej réžii

Obsah bezpečnostného projektu presne určuje zákon o ochrane osobných údajov. Prevádzkovatelia informačných systémov v ňom napríklad presne definujú, kto a za akých podmienok má k osobným údajom prístup, pričom táto osoba musí vyhovovať bezpečnostným štandardom pre informačné systémy, ktoré na Slovensku reprezentuje technická norma STN ISO 17799.

Predseda ÚOOÚ Pavol Husár prízvukuje, že citlivé osobné údaje treba zodpovedajúcim spôsobom chrániť. Na druhej strane si však myslí, že väčšina prevádzkovateľov „z jednoduchých vecí robí veľkú vedu“.

„Pokiaľ majú firmy šikovných informatikov, môžu si bezpečnostný projekt vypracovať aj sami,“ tvrdí P. Husár. Ako príklad uvádza ambulanciu súkromného lekára, ktorému na popísanie bezpečnostného projektu môže stačiť dve strany.

Konzultanti uznávajú, že firma si môže projekt zhotoviť vo vlastnej réžii. Podľa R. Stadtrückera je však otázne, či by takýto dokument presne dodržiaval stanovené štandardy a obstál pri kontrole ÚOOÚ.

„Dostať pokutu do výšky niekoľkých miliónov korún by pre väčšinu slovenských firiem znamenalo existenčné problémy,“ dodáva manažér Softipu. „Stretli sme sa aj s firmami, ktoré chceli ušetriť a projekt si urobiť vo vlastnej réžii. Keď však zistili, čo jeho vypracovanie obnáša, tak to radšej nechali na nás,“ dodáva konateľ spoločnosti BSP Consulting, s.r.o., Bratislava Michal Jarábek.

Cena projektu

Ako poznamenáva S. Hrda, mnohé firmy si povinnosti pri ochrane osobných údajov uvedomujú, no na vypracovanie bezpečnostného projektu nemajú dostatok kapacít ani peňazí. „Týmto záujemcom sa budeme venovať až potom, keď sa nám trochu uvoľnia ruky. Rozširujeme preto spoluprácu o ďalšie konzultačné firmy, aby bolo možné realizovať aj bezpečnostné projekty v menšom rozsahu za podstatne menej peňazí,“ hovorí S. Hrda.

Cena za vypracovanie projektu podľa I. Kopáčika závisí od rozsahu spracovávaných osobných údajov a komplexnosti informačného systému. Aj menšie firmy, napríklad obchodníci s cennými papiermi, môžu každodenne zdieľať, spracúvať a distribuovať celé databázy takýchto údajov.

„V takomto prípade môže byť bezpečnostný projekt podstatne zložitejší a náročnejší ako napríklad vo veľkom priemyselnom podniku,“ mieni I. Kopáčik.

Stanoveniu cenovej ponuky predchádza zmapovanie informačných systémov a tokov, počtu prevádzkarní, architektúry siete a spôsobu on-line pripojenia potenciálneho klienta. „Bez týchto znalostí cenu stanoviť nedokážeme,“ hovorí R. Stadtrücker.

Softip, ktorý už spracoval takmer sto bezpečnostných projektov, prostredie analyzuje pomocou dotazníka. „Niekedy nám takto získané údaje nestačia a spresňujeme si ich osobnou návštevou,“ dodáva R. Stadtrücker.

Cena bezpečnostného projektu závisí aj od rozsahu súvisiacich služieb. Napríklad Softip ponúka vypracovanie dokumentu už od päťtisíc korún. BSP si pýta najmenej dvadsaťtisíc korún, štandardne však vykonáva aj skúšky prieniku do počítačovej siete z externého prostredia.

Od tisícok k miliónom

Dodávatelia si pri väčších bezpečnostných projektoch často prizývajú špecializovaných konzulantov – takzvaných CISA (Certified Information Systems Auditor) audítorov. „Väčšinou sa to týka veľkých firiem, pobočiek zahraničných spoločností a bánk, ktoré potrebujú informačné systémy medzinárodne certifikovať,“ hovorí I. Kopáčik, ktorý je jedným z približne dvadsiatich slovenských CISA audítorov.

Bankám vyplýva bezpečnostný audit priamo zo zákona, pričom CISA certifikát predstavuje dostatočnú záruku kvality pre Národnú banku Slovenska, ktorá bezpečnosť bankových systémov kontroluje.

CISA audit alebo projekt je však podstatne drahší. Vyjde na stovky tisíc až milióny korún.

Na druhej strane je medzinárodne akceptovaný, spĺňa vysoké nároky na kvalitu, rozsah a komplexnosť. Úroveň bezpečnosti informačného systému posudzujú vyškolení špecialisti, pričom dodávatelia technológií plnia len čiastkové úlohy.

Audítori zhodnotia bezpečnostné riziká a odporučia opatrenia na ich zníženie – dodávku technológií realizuje subdodávateľ.

Dôraz na prevenciu

Pri kontrole bezpečnosti osobných údajov v informačnom systéme si Úrad pre ochranu osobných údajov od prevádzkovateľa vyžiada bezpečnostný projekt a skúma, či má všetky zákonom stanovené náležitosti. Okrem toho preveruje, či jeho obsah zodpovedá realite.

Pokiaľ zistí nedostatky, môže požadovať, aby mu firma v trojmesačnej lehote dodala správu o výsledkoch bezpečnostného auditu. Ten však nesmie vypracovať tá istá spoločnosť, ktorá zhotovovala projekt. ÚOOU už podľa P. Husára dostal upozornenie, že niektoré firmy využívajú neinformovanosť verejnosti a oslovujú potenciálnych klientov s ponukou bezpečnostného projektu vrátane auditu. „Ide o nekorektné ponuky,“ dodáva predseda úradu.

Pokiaľ audit bezpečnostného systému preukáže nedostatky, teda rozdiely oproti bezpečnostnému projektu, musí ich prevádzkovateľ systému uviesť do súladu. ÚOOÚ bude podľa P. Husára skôr ukladať opatrenia na nápravu ako pokuty: „Vediem úrad smerom k prevencii, a nie k sankciám.“

Prevádzkovateľ informačného systému dostane pokutu až pri porušení zákona o ochrane osobných údajov. Napríklad vtedy, ak úrad vyzve prevádzkovateľa, aby predložil bezpečnostný projekt, no ten ho nemá.

Chýbajú ľudia

S preverovaním bezpečnostných projektov chce ÚOOU začať v najbližšom čase. Intenzitu a rozsah kontrol však bude brzdiť slabé personálne obsadenie úradu. Ako podotýka P. Husár, ľudia a firmy sa na úrad obracajú veľmi často. Od septembra uplynulého roka dostal vyše štyritisíc žiadostí o vysvetlenie zákona a žiadostí o začatie konania.

„Zvládnuť toto všetko s devätnástimi zamestnancami je nemožné,“ tvrdí P. Husár. Vzhľadom na nenaplnený zamestnanecký stav – tabuľkovo by mal úrad mať 30 pracovníkov – musel časť korešpondencie a činností odfiltrovať. Od začiatku júna už neposkytuje konzultácie k zákonu o ochrane osobných údajov a zaoberá sa len úlohami, ktoré mu z neho vyplývajú, najmä závažnými podnetmi verejnosti. V súčasnosti ich rieši vyše štyridsať.

Zvyšovanie personálneho stavu ÚOOÚ podľa P. Husára tak skoro očakávať nemožno: „Už v októbri sme žiadali Úrad pre štátnu službu o ďalších pracovníkov, no odvtedy sa nám neozvali.“ A tak sa Slovensko musí zatiaľ uspokojiť s 19 ochrancami osobných údajov. Na porovnanie – český úrad pre ochranu osobných údajov v súčasnosti zamestnáva 81 ľudí. 

Čo je bezpečnostný projekt

Bezpečnostný projekt musia vypracovať všetci prevádzkovatelia informačných systémov prepojených na verejne počítačovú sieť (internet). Túto povinnosť majú aj prevádzkovatelia systémov, v ktorých sa spracúvajú osobitné kategórie osobných údajov. Ide najmä o rasový a etnický pôvod, svetonázor, členstvo v politických stranách, údaje týkajúce sa zdravia a pohlavného života.

Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na minimalizáciu hrozieb pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Spracúva sa v súlade so základnými pravidlami bezpečnosti informačného systému, vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami.

Obsahuje najmä:

• zámer
• analýzu bezpečnosti informačného systému
• bezpečnostné smernice.
Bezpečnostný zámer stanovuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému, a to najmä:

• formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení
• špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia
• vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti
• vymedzenie hraníc určujúcich množinu zvyškových rizík (ide o riziká, ktoré nie je možné odstrániť alebo len veľmi draho).
Analýza bezpečnosti informačného systému obsahuje najmä:

• kvalitatívnu analýzu rizík schopných narušiť bezpečnosť alebo funkčnosť informačného systému a tým dôvernosť, integritu a dostupnosť spracúvaných osobných údajov; ďalej sa uvádza aj rozsah možného rizika, návrhy protiopatrení, ako aj súpis nepokrytých rizík
• použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; posúdenie zhody navrhnutých opatrení s použitými štandardmi, metódami a prostriedkami.
Bezpečnostné smernice spresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä:

• opis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach
• rozsah oprávnení a opis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie pri prístupe do informačného systému
• rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov
• spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému
• postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení a možností efektívnej obnovy stavu pred haváriou.

Spracované podľa zákona č. 428/2002 Z.z. o ochrane osobných údajov v informačných systémoch.

Foto – Miro Nôta, SAP