Důvěrnost informací a dat

Právní systémy různých států se obvykle snaží zajistit ochranu informací a informačních systémů před neoprávněným přístupem k nim, ať již z důvodu respektování soukromí a rodinného života, ochrany osobních údajů, obchodního tajemství, či jiných oprávněných zájmů. Zajištění důvěrnosti informací a dat je i prevencí neoprávněných změn v datech. Důvěrnost a integrita (celistvost) informací a dat jsou úzce spjaty.

Důvěrností informací a dat lze rozumět skutečnost, že k nim získají přístup jen osoby (systémy, subjekty) k tomu oprávněné. Rovněž to znamená, že nikdo nepovolaný nemůže zachytit tok dat, tj. „odposlechnout” komunikaci mezi počítačovými systémy a narušit tím důvěrný přenos informací. Narušením důvěrnosti informací je především neoprávněný přístup k počítačovému systému nebo jeho části. Zpravidla bývá považován za trestný, „pokud je spáchán porušením bezpečnostních opatření, s úmyslem získat počítačová data nebo s jiným nečestným úmyslem, nebo ve vztahu k počítačovému systému, který je spojen s jiným počítačovým systémem.”⁴⁹⁴

Kromě narušení důvěrnosti představuje neoprávněný přístup k informacím též hrozbu pro integritu a dostupnost informací a dat, neboť může ztížit využití počítačových systémů a sítí jejich oprávněnými uživateli, vést ke změnám či ztrátě dat a k vysokým nákladům vynaloženým na jejich znovuzískání. Nezákonný přístup k informacím a datům může být i prostředkem ke spáchání závažnější trestné činnosti, kterou je padělání, podvod, vydírání apod. Přístup může být získán k hardware a fyzickým komponentům počítače, k uloženým datům, k adresářům či k metadatům, přičemž nezáleží, zda je přístupu docíleno skrze veřejnou či soukromou komunikační síť.

Neoprávněnost přístupu spočívá v absenci souhlasu vlastníka či jiné osoby oprávněné udělit souhlas s přístupem do systému či jeho části, např. za účelem provedení zkoušky jeho zabezpečení. O neoprávněný přístup se však nebude jednat v případě počítačového systému volně přístupného veřejnosti (open access by the public) - takový přístup bude vždy po právu. Mezi další případy přístupu v souladu s právem může patřit výkon státní moci v souladu se zákonem za účelem ochrany veřejného pořádku, bezpečnosti státu či postihu trestné činnosti. ⁴⁹⁵

Narušením důvěrnosti informací a dat je i nezákonný odposlech. Úmluva o počítačové kriminalitě ukládá stíhat jako trestný „úmyslný, neoprávněný, technickými prostředky provedený odposlech neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci,

Srov. čl. 2 Úmluvy o počítačové kriminalitě. ČR učinila v souladu s čl. 2 a čl. 40 Úmluvy o počítačové kriminalitě

494

výhradu, dle níž nastane trestní odpovědnost za činy popsané v čl. 2 Úmluvy při narušení bezpečnostních opatření s cílem získat neoprávněný přístup k celému počítačovému systému nebo jeho části.

RADA EVROPY. Explanatory Report - ETS 185 - Cybercrime (Convention) [online], body 38 a 44 - 47. Dostupné:

495

https://rm.coe.int/16800cce5b [Cit. 2022-11-09].

včetně elektromagnetického vyzařování z počítačového systému přenášejícího taková počítačová data.” ⁴⁹⁶ Jedná se o stejné porušení práva na soukromí jako v případě klasického odposlechu telefonního hovoru či porušení listovního tajemství. Způsob přenosu elektronických dat není rozhodující. Z hlediska trestnosti však Úmluva o počítačové kriminalitě cílí pouze na odposlechy provedené technickými prostředky, tj. s pomocí technických zařízení připevněných k přenosovým linkám či zařízením pro sběr a záznam bezdrátové komunikace, počítaje v to nejrůznější software.

Ochrana je poskytována neveřejnému přenosu - je nerozhodné, jsou-li přenášené informace a data jinak veřejně dostupné. Samotné „proudění” elektronických dat má zůstat nenarušeno, má-li být ⁴⁹⁷ zajištěna jejich důvěrnost.

S pojmem důvěrnost informací a služeb, které „zpracovává nebo poskytuje informační a komunikační systém”, pracuje i vyhláška NÚKIB č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti”). Tyto informace a služby označuje jako aktiva. Povinným osobám ukládá přistupovat k aktivům s ohledem na jejich důležitost, jež má být stanovena pomocí hledisek důvěrnosti, integrity a dostupnosti. Obdobně dělí i kybernetické bezpečnostní incidenty podle skutečnosti, zda narušují důvěrnost, integritu nebo dostupnost informací a služeb, případně zda jde o kombinaci narušení uvedených oblastí. ⁴⁹⁸

Jak nahlížet na důvěrnost informací a služeb uvádí Stupnice pro hodnocení důvěrnosti v tabulce Přílohy č. 1 vyhlášky o kybernetické bezpečnosti. Informace a služby rozděluje z hlediska hodnocení jejich důvěrnosti do čtyř úrovní: nízká, střední, vysoká a kritická. Požadavky na ochranu mají vzestupnou tendenci: zatímco u veřejně přístupných informací (nízká úroveň důvěrnosti) nejsou žádné, u informací, jež představují veřejně nepřístupné know-how (střední úroveň důvěrnosti), mají být využity prostředky pro řízení přístupu, přičemž požadavky jsou i u jejich likvidace. Pokud informace a služby nejsou veřejně přístupné a právní předpisy nebo jiné předpisy či smluvní ujednání vyžadují jejich ochranu (vysoká úroveň důvěrnosti), mají být pro ochranu důvěrnosti využívány již prostředky zajišťující řízení i zaznamenávání přístupu, a přenos informací má být chráněn pomocí kryptografie. U veřejně nepřístupných informací a služeb vyžadujících nadstandardní míru ochrany nad rámec vysoké úrovně důvěrnosti (kritická úroveň důvěrnosti) má

Čl. 3 Úmluvy o počítačové kriminalitě.

496

RADA EVROPY. Op. cit., body 51 - 54.

497

Srov. 2 písm. g), § 4 písm. b), e), § 31 odst. 3 vyhlášky o kybernetické bezpečnosti a dále její přílohu č. 1.

498

být nad rámec předchozích opatření využita i ochrana před zneužitím informací a služeb ze strany administrátorů.

Důvěrnost informací lze hodnotit i na základě zákona o ochraně utajovaných informací.

Utajovanou informací je informace, „jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné, a která je uvedena v seznamu utajovaných informací”, přičemž podoba ani nosič informace nejsou rozhodující. V souvislosti s povahou ⁴⁹⁹ újmy zájmu ČR, která může být vyzrazením utajované informace neoprávněné osobě způsobena, je informace klasifikována jedním ze čtyř stupňů utajení: přísně tajné, tajné, důvěrné a vyhrazené. ⁵⁰⁰ Ústředním orgánem státní správy pro ochranu utajovaných skutečností se stal 1. 8. 1998 Národní bezpečnostní úřad, jenž se v souvislosti s přijetím zákona o ochraně utajovaných informací označuje od roku 2006 jako ústřední orgán státní správy ochrany utajovaných informací. ⁵⁰¹

Bezpečnost informačních a komunikačních systémů nakládajících s utajovanými informacemi upravuje Hlava VI. zákona o ochraně utajovaných informací. Nakládat s utajovanými informacemi lze pouze v informačních systémech, které byly certifikovány NÚKIB a písemně schváleny do provozu odpovědnou osobou nebo jí pověřenou osobou. NÚKIB schvaluje i projekt ⁵⁰² bezpečnosti provozu komunikačního systému, neboť do působnosti NÚKIB spadá i bezpečnost ⁵⁰³ informačních a komunikačních systémů a kryptografická ochrana utajovaných informací. V jejím rámci NÚKIB vykonává nejen legislativní a metodickou činnost, ale i kontrolu, vede správní řízení a ukládá správní tresty za porušení povinností při ochraně utajovaných informací. Posuzování ⁵⁰⁴ bezpečnosti informačních systémů je složitá problematika vzhledem k různorodosti informačních systémů a rychlému rozvoji ICT. Požadavky na informační i komunikační systémy nakládající s ⁵⁰⁵

§ 2 písm. a) zákona o ochraně utajovaných informací. Zájem ČR je koncipován v písm. b) téhož ustanovení široce

499

jako zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob.

§ 4 zákona o ochraně utajovaných informací. Pojem újmy zájmu ČR je rozveden v § 3 zákona o ochraně utajovaných

500

informací.

Před 1. 8. 1998, kdy vstoupil v účinnost zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně

501

některých zákonů, byl výkon státní správy v dané oblasti svěřen Komisi pro ochranu státního tajemství a Federálnímu ministerstvu vnitra, resp. od 1.1.1993 Ministerstvu vnitra ČR. Blíže k vývoji institucionální ochrany utajovaných informací v ČR viz PAVELKA, Ivan. Institucionální zajištění ochrany utajovaných informací v ČR. Správní právo, č.

3/2018.

Srov. § 34 odst. 1 až 4 zákona o ochraně utajovaných informací.

502

§ 35 odst. 2 zákona o ochraně utajovaných informací.

503

Tato působnost NÚKIB se však nevztahuje na činnost zpravodajských služeb ani Ministerstva vnitra, plní-li úkoly

504

podle zákona o ochraně utajovaných informací. Podrobněji k úkolům a pravomoci NÚKIB i NBÚ v oblasti ochrany utajovaných informací PAVELKA, Ivan. Op. cit.

Srov. Metodiku k certifikaci informačních systémů č. 1/2005/02/is Nbu ve znění účinném od 30. 4. 2005, bod 5.

505

utajovanými informacemi, provádění certifikace a schvalování projektů bezpečnosti jsou uvedeny ve vyhlášce Národního bezpečnostního úřadu č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor (dále jen „vyhláška o bezpečnosti ICT”). V ní najdeme i vysvětlení pojmu důvěrnost utajované informace: jde o „vlastnost, která znemožňuje odhalení utajované informace neoprávněné osobě”. Na základě ⁵⁰⁶ žádosti o certifikaci vypracuje NÚKIB seznam podkladů pro ověření způsobilosti informačního systému. Certifikaci informačního systému provede posouzením podkladů předložených žadatelem a provedením dodatečných testů za spoluúčasti žadatele, případně i dodavatele (pokud je informační systém budován jinou organizací). Výsledkem posouzení je vydání certifikační zprávy, která případně obsahuje kromě ⁵⁰⁷ podmínek provozu informačního systému a jeho popisu i identifikaci přijatelných rizik souvisejících s jeho provozem. Certifikace se vydává na dobu určitou, a v případě ⁵⁰⁸ žádosti o opakovanou certifikaci, neexistují-li nová rizika, NÚKIB vydává certifikát již na základě existující bezpečnostní dokumentace informačního systému a provedené kontroly bezpečnosti informačního systému. ⁵⁰⁹

Na certifikaci informačního systému lze nahlížet jako na doklad ve smyslu § 151 správního řádu opravňující nakládat v informačním systému s utajovanými informacemi. Proces posuzování informačního systému je řízením o žádosti žadatele, a je-li žádosti vyhověno, přiznává certifikace právo nakládat v informačním systému s utajovanými informacemi. Pravomoc NÚKIB provádět ve smyslu § 137a písm. e) zákona o ochraně utajovaných informací certifikaci informačního systému či schvalovat projekt bezpečnosti komunikačního systému, je patrně svým charakterem správním řízením, v němž lze místo písemného vyhotovení rozhodnutí vydat doklad - certifikační zprávu, jež je ve své podstatě konstitutivním rozhodnutím. Pokud by nebylo žádosti o certifikaci vyhověno, postup podle § 151 správního řádu se neuplatní, ale musí být vydáno rozhodnutí podle § 67 a násl.

správního řádu. ⁵¹⁰

§ 2 písm. i) vyhlášky o bezpečnosti ICT.

506

§ 24 odst. 6 vyhlášky o bezpečnosti ICT. Podrobněji srov. Metodiku k certifikaci informačních systémů č. 1/2005/02/

507

is Nbu ve znění účinném od 30. 4. 2005.

§ 25 vyhlášky o bezpečnosti ICT. Certifikační zpráva obsahuje podle písm. d) téhož ustanovení i typy změn

508

informačního systému, které vyžadují provedení doplňujícího hodnocení informačního systému.

§ 26 odst. 2 vyhlášky o bezpečnosti ICT.

509

JEMELKA, Luboš, PONDĚLÍČKOVÁ, Klára, BOHADLO, David. § 151 [Vydání dokladu]. In: JEMELKA, Luboš,

510

PONDĚLÍČKOVÁ, Klára, BOHADLO, David. Správní řád. 6. vydání. Praha: C. H. Beck, 2019, str. 805.

V oblasti ochrany utajovaných informací se projevuje spolupráce příslušných správních orgánů. Národní bezpečnostní úřad jako ústřední správní úřad primárně kontroluje, zda v oblasti ochrany utajovaných informací a bezpečnostní způsobilosti dodržují orgány státu, právnické osoby, podnikající fyzické osoby a fyzické osoby právní předpisy. Jelikož je však NÚKIB příslušným orgánem státní správy pro oblast ochrany utajovaných informací v informačních a komunikačních systémech, bude k výkonu kontroly přizván též zástupce NÚKIB. ⁵¹¹