Fyzická bezpečnost firmy


V současnosti je pojem bezpečnost společnosti (firmy nebo státního subjektu) spíše spojován s kybernetickou bezpečností, zejména v souvislosti s vysokým nebezpečím hackerských útoků. Fyzická bezpečnost může být vnímána jako méně důležitá, i když opatření fyzické bezpečnosti mají svou nezastupitelnou roli i v mnoha dalších bezpečnostních systémech. Fyzická bezpečnost (physical security) je základním kamenem zajištění bezpečnosti každé společnosti a lze ji charakterizovat jako soubor opatření k zajištění aktiv (assets) společnosti proti poškození, odcizení nebo zničení.

Fyzická bezpečnost je definována nejen ochranou fyzického majetku společnosti ale ochranou všech svých aktiv, tedy všeho, co má pro společnost nějakou hodnotu. Rozsah fyzické bezpečnosti je definován potřebami společnosti a dále je vymezován celou řadou legislativních opatření jejichž nedodržování může přinést společnosti značné ztráty ve formě sankcí.

Jedním z těchto předpisů je zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Fyzická bezpečnost je tvořena systémem bezpečnostních opatření, která mají zabránit nebo ztížit přístup k utajovaným informacím neoprávněné osobě a zároveň zaznamenat každý takový pokus. Je tvořena kombinacemi opatření fyzické bezpečnosti:

- ostraha objektu

- režimová opatření

- technické prostředky.

Utajované informace jsou klasifikovány podle závažnosti důsledku při jejich vyzrazení, na stupeň utajení vyhrazené, důvěrné, tajné a přísně tajné. Rozsah opatření fyzické bezpečnosti určuje stupeň utajení utajované informace a vyhodnocení rizik v projektu fyzické bezpečnosti. Pro zabezpečení ochrany utajovaných informací v rámci fyzické bezpečnosti jsou určovány objekty, zabezpečené oblasti a jednací oblasti, které slouží ke zpracovávání, manipulaci a ukládání utajovaných informací. Zákon stanovuje např. minimální počty pracovníků ostrahy v objektu pro jednotlivé stupně utajení, kdy činnosti ostrahy navazují na režimová opatření a jsou využívány technické prostředky. Režimová opatření stanovují oprávnění osob a dopravních prostředků pro vstup (odchod) a vjezd (výjezd) do objektu a do zabezpečených a jednacích oblastí. Jsou používány identifikační prostředky a systémy pro zabezpečení vstupů. Režimová opatření také stanovují pravidla pro kontrolu pohybu osob v objektu a způsob kontroly pro případ vynášení utajovaných informací z objektu apod. Technické prostředky (mechanické zábranné prostředky, elektronická zámková zařízení, elektronická zabezpečovací signalizace apod.), které jsou užívány jako opatření fyzické bezpečnosti v souvislosti s ochranou utajovaných informací jsou podle kategorizace utajovaných informací certifikované nebo necertifikované.

Fyzickou bezpečnost v souvislosti s kybernetickou bezpečností specifikuje zákon č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) jako jedno z technických bezpečnostních opatření. Vyhláška č. 82/2018 Vyhláška č. 82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)dále vymezuje pojem fyzické bezpečnosti jako předcházení poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému. V rámci fyzické bezpečnosti je vymezen bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému. U fyzického bezpečnostního perimetru jsou přijata nezbytná opatření a uplatňovány prostředky fyzické bezpečnosti k zamezení neoprávněnému vstupu, poškození a neoprávněným zásahům a pro zajištění ochrany na úrovni objektů a v rámci objektů.


Nařízení (EU) 2016/679 o ochraně osobních údajů se nezabývá fyzickou bezpečností v souvislosti se stanovením konkrétních povinností, stanovuje však povinnosti pro správce a zpracovatele osobních údajů zajistit, aby nedošlo k porušení zabezpečení, které by vedlo k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Zde fyzická bezpečnost přispívá k zabezpečení osobních údajů a je nedílnou součástí dalších opatření jako např. pseudonymizace a šifrování.

Fyzickou bezpečností se ve své technické části zabývá také Minimální bezpečnostní standard (vydaný 17.7.2020 MV, NÚKIB, NAKIT), který je podpůrným materiálem pro subjekty, které nespadají pod regulaci zákona o kybernetické bezpečnosti. Z pohledu fyzické bezpečnosti jsou zde stanoveny základní požadavky a principy pro zajištění bezpečnosti informací.

Do zajištění fyzické bezpečnosti ve společnosti je nutné zahrnout i specifické potřeby společnosti týkající se také oblasti BOZP, např. omezení přístupu a pohybu ve specifických výrobních prostorech, kde je stanoveno dalšími legislativními opatřeními např. konkrétní proškolení pracovníků, speciální ochranné prostředky apod. K zajištění těchto specifických potřeb společnosti jsou využívány opatření fyzické bezpečnosti.

Legislativní opatření, která jsem zde uvedl upravují povinnosti implementovat opatření fyzické bezpečnosti pro společnosti, které spadají do jejich působnosti. Při neplnění těchto povinností hrozí společnostem zpravidla ztráty v podobě sankcí. Podpůrný materiál Minimální bezpečnostní standard specifikuje minimální základní požadavky pro fyzickou bezpečnost každé společnosti. Rozsah opatření fyzické bezpečnosti je pro každou společnost specifický podle jejích potřeb na zabezpečení aktiv. Fyzická bezpečnost je primárně zaměřena na ochranu fyzického majetku společnosti, jedná se ale také o bezpečnostní opatření, která souvisí s dalšími bezpečnostními systémy kybernetické bezpečnosti, ochrany osobních údajů, ochrany utajovaných informací, BOZP a další. Celkovou bezpečnost každé společnosti je třeba chápat jako komplexním systém, kde mají opatření fyzické bezpečnosti svou nezastupitelnou roli a žádný z dalších bezpečnostních systémů se bez nich nemůže obejít.

Použité prameny:

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Zákon č. 412/2005 Sb., Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti

Zákon č. 181/2014 Sb., Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Zákon č. 110/2019 Sb., Zákon o zpracování osobních údajů

Vyhláška č. 82/2018 Sb., Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

Minimální bezpečnostní standard (vydaný MV ČR, NÚKIB, NAKIT)