"1.3.2. Standardy pro hodnocení bezpečnosti informačních systémů
Ke stanovení kritérií bezpečnosti informačních systémů vedla nutnost poskytnout uživateli měřítko pro vyjádření důvěry v informačních systém.
Trusted Computer System Evaluation Criteria – (TCSEC), neboli tzv. Orange Book, je publikace Ministerstva obrany USA z roku 1983. Klasifikuje informační systémy od D (nulová nebo minimální ochrana) přes C1 (volitelná bezpečnostní ochrana), C2 (řízený systém přístupových práv), B1 (povinná bezpečnostní ochrana), B2 (strukturovaná ochrana), B3 (bezpečnostní domény s autorizací referenčním monitorem a on-line detekcí nebezpečných stavů) až po kategorii A1 (verifikovaný návrh včetně formálního důkazu splnění kriterií).
V Evropě vydal v roce 1991 Úřad pro oficiální publikace EU text s názvem Information Technology Security Evaluation Criteria (ITSEC), přezdívaný podle amerického vzoru Superman Book. Tento systém specifikuje sedm stupňů (E0 až E6 a v příloze definuje dalších 10 funkčních tříd).
„Ochrana dat v informačních systémech je složitý problém, který nezahrnuje jen shora uvedené přístupy. Data je nutné chránit dalšími prostředky, mezi než patří organizační, provozní, technické prvky, šifrování a další. Nejúčinnější systém ochrany dosáhneme teprve kombinací všech opatření.” [3], str. 381.

1.4. Legislativní podmínky

Zákonnou úpravou provozování informačních systémů se zabývá Zákon č. 256/92 Sb. O ochraně osobních údajů v informačních systémech. Dovolil jsem si do následujícího textu vybrat některé (z mého hlediska klíčové pasáže). Kompletní text zmiňovaného zákona je uveden v příloze.
Informačním systémem se rozumí funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. Provozováním informačního systému se rozumí provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytování informační služby.
Likvidací informace se rozumí její výmaz nebo fyzické rozložení takovým způsobem, aby informace nemohla být znovu sestavena, nebo fyzické zničení hmotného nosiče, na nějž je vázána.
Provozovat informační systém, který nakládá s informacemi, které vypovídají o osobnosti a soukromí dotčené osoby, jejím rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, o její trestné činnosti, zdraví, sexuálním životě a majetkových poměrech, lze pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, lze s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.
Provozovatel informačního systému je povinen zajistit ochranu informací i celého systému před náhodným nebo neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo zpracováním, stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému, poskytnout jednou do roka bezplatně, nebo za přiměřenou úplatu kdykoli, každé dotčené osobě na požádání zprávu o informacích o ní uchovávaných v informačním systému, pokud zvláštní zákon nestanoví jinak."

Práce obsahuje graf, schémata a tabulku. Čistý text dosahuje cca 7 stran. Důležité informace jsou tučně značeny.

PRÁCE BYLA UVOLNĚNA BEZ NÁROKU NA HONORÁŘ