Jasne, ale predpokladam, ze se bavime o normalni firemni siti, ne o nejakem intranetu raketove zakladny 
Ale jinak si myslim rozumime, nejsme ve sporu. Chtel jsem jenom rict, ze se neda zavery pravniku z najekeho prostredni slepe prenaset do jineho...
Jenomže tohle se týká obecně všech. Jenom k rizikovějšímu prostředí se to podrobně řeší i to, an co řada jiných subjektů kašle a obvykle netuší, že by s ejich nějak týkalo.
Něco nám snad napraví legislativa o kybnetické bezpečnosit od příštího roku, aspoň pro některé subjety.
To jsem ani nezaznamenal, ze se chysta. Mas nejaky dobry tip, kde si o tom neco precist?
Kde spíš poslední rok? Ale je fakt, týká se to všech ISP a telko operátorů (pokud to je veřejná síť) a pak subjektů, co padají do skupin, kde jejich selhání může způsobit rozsáhlé škody (jako nejmenší subjekt je asi sídlištní kotelna, která může svým výbuchem ohrozit 500+ lidí) nebo výpadek způsobit potíže v zásobování a provozu státu nebo ohrožení úniku osobních informací rozsáhlého dopadu (zpracování osobních informací pro 5000+ lidí), takže plyn, elektro, teplo, finance, státní správa, zdravotnická velká sřediska, třeba i zemědělství, pokud mám třeba velké chovy.
Ti všichni pak budou muset řešit otázku bezpečnosit a dodržení stanovených postupů (aktivní monitoring, vyhondocování, akce, reportování, ...). V některých případech je čeká, že správný postup dokladování, že dělám vše kal mám bude i audit ISO 27.001.
Posuzovat to bude soudní znalec, který by měl říci, že děláš vše, co je dneska v oboru obvyklé (a budeš doufat, že postupuje podle něčeho roumného a ne doporučení nedělních IT přííloh novin) a řekne, že je to OK a rozumně si splnil, co můžeš očekávat. [...] Soud by měl "objektivně" posoudit velikost vzniklé škody a jak jsem k ní svým chováním přispěl, zda k dané situaci na co jsem spolehal a jak moc a dle toho případně přisoudit podíl na hrazené škodě. Takže je to o tom, jak se vyspí....
Mne na tom porad nesedi jedna vec: nakolik ma jakykoli subjekt povinnost zabezpecit svuj majetek proti moznosti jeho zneuziti treti stranou. Ja mam skoro pocit, ze takovou povinnost nemas vubec, kdyz pominu specialni pripady jako zbrane apod.
Timpadem mi ani nesedi ta uvaha "co je tolerovatelne u domaci site, neni tolerovatelne u firemni". Z hlediska principu, ne miry.
Pokud bych totiz jako firma takovou povinnost mel, dostanu se do uplnych absurdit - mel bych napr. povinnost zabezpecit, ze zamestnanci nepouzivaji vykon mych pocitacu k tomu, aby louskali SHA?! -- nejde mi o to, jestli to je mozne po nekom "rozumne ocekavat", ale o to, na zaklade jakeho titulu to vubec muze nekdo ocekavat... Proto ten priklad s lopatou - ja prece nemam povinnost lopaty zamykat a jestlize A pomoci me lopaty zpusobi skodu B, tak to neni ani trochu moje chyba (pokud s A ani B nejsem v zadnem pravnim vztahu).
INAL, takže IMHO.
Buď to máš stanoveno výslověně legislativně specializujícím zákonem a není co řešit, posuuješ ne/dodržení dané legislativy, což bude aspoň ten kyberzákon pro některé.
Průser nástává tam, kde to není takto specifikováno a platí to obecná předcházne škodám, kam padá úplně vše, co nemá svůj specifický zákon V tomto případě to má být tak, že se vyhodnocuje každý případ nezávisle a když to není taxativně stanoveno zákonem, tak se přihlíží i k dobrým mravům a obvyklým postupům a zvyklostme v daném oboru a vyhodnocuje se i individuálně, zda daný, o kterém se ta klasifikace rozhoduje je schopen posoudit případné rizika, nápravné opatření a co s tím jde dělat (ten proces posuzování a stanovení co zná a má chápat průměrný člověk je snad i řešen někde v občanském zákoníku).
A u soukromé osoby se v tkaovém opřípadě posuzuje, zda to chápe a pokud ne, tka je z obliga a pokud je v oboru profík, tak se po ní chce, že se má chovat profesionálně.
Bohužel u firmy je to jinak, tam máš opět obecnou povinnost, že všechny činnosti ve firmě zajišťuješ odborně vzdělaným personálem, takže máš vědět jak to má být a chovat se dle toho.
To je roziko toho obecného stanovení, že se vždy posuzuje konkrétní situace s ohledem na aktéry, způsob, škodu, což dává slušnou obecnou nejistotu, jak to dopadne.
Jinak, pokud is pamatuji, kdysi vyšel i právní rozbor od JUDr. Jána Matejky, který se k tomu stavěl nějak podobně (samozřejmě ho jiní za to i cupovali), ale jako prezident Společnosti pro právo informačních technologií a i tomu, že právu v IT věnoval, tak jeho právní názor asi jakousi váhu může mít i když je to spoustu lez zpět a od té doy je spousta jiných zákonů, které to mohly ovlivnit. Základ byl stejný, obor není taxativně legislativou řešen, asinení potřeba, ale nese to nejistotu v případu sporu.
99 Odpovědí
21873 Zhlédnutí