Bezpečnost a ochrana dat v účetnictví vedeném

Transkript

.
BAKALÁ
ŘSKÁ PRÁCE
Bezpečnost a
ochrana dat
v účetnictví vedeném
na počítači
Security and data
protection of
computer – based
accounting
Vojtěch Adam Rychlíček
Unicorn College © 2011
Unicorn College, V kapslovně 2767/2, Praha 3, 130 00
Název práce v ČJ:
Bezpečnost a ochrana dat v účetnictví
vedeném na počítači
Název práce v AJ:
Security and data protection of
computer – based accounting
Autor:
Vojtěch Adam Rychlíček
Akademický rok:
2011
Kontakt:
E-mail: [email protected]
Tel.: (+420) 732 343 333
Bakalářská práce
Bezpečnost a ochrana dat v účetnictví vedeném na počítači
Security and data protection of computer – based accounting
1.
ZADÁNÍ
4
2.
ABSTRAKT
Bakalářská práce je vypracována na téma Bezpečnost a ochrana dat v účetnictví vedeném na
počítači.
Ze začátku zmiňuji hlavně fyzickou ochranu dat v papírové formě a následně historii vzniku počítačů a
internetu.
V další části se zaměřuji na popisování kryptografie, což je matematický obor, který se zabývá
kódovacími a šifrovacími algoritmy. Dále zde popisuji substituční šifry a permutační šifry a jejich
způsob vytváření a dekódování. Celou kapitolu uzavírá kyberprostor, který definuji jako: Virtuální svět
vytvořený moderními technologickými prostředky (např. počítačem). Cílem této části je obeznámit
čtenáře o základních pojmech kryptografie a seznámení s kyberprostorem.
V druhé části se již naplno zaměřuji na ochranu dat na počítači. Zmiňuji zde množství útočníků, kteří
nás mohou připravit o důležitá data. Jsou jimi na příklad: Hacker, Cracker, White Hats, Black Hats,
apod. Rovněž zmiňuji i základní způsoby útoků a virů. Cílem je představit čtenáři hrozby, které mohou
jeho počítač napadnout, při připojením na internet bez adekvátní ochrany dat.
Elektronický podpis nám představuje způsob ochrany dat proti zneužití neoprávněnou osobou.
Třetí část se zabývá právní stránkou ochrany dat. Zmiňuji zde zákony a nařízení, které mají zajistit
právní ochranu při případném zcizení dat. Pro příklad bych uvedl zákon č. 101/2000 Sb., v platném
znění o ochraně osobních údajů. Cílem této kapitoly je obeznámit čtenáře s jeho právními nároky, aby
zjistil, zdali byla jeho práva porušena a jaký státní orgán má v kompetenci bezpečnost a ochranu dat.
Poslední teoretickou částí je ochrana dat v účetnictví, kde nejdříve popisuji, jak se účetnictví vyvíjelo,
dále popisuji průběh auditu a nakonec zmiňuji důležité rady pro firmy, které uvažují nad pořízením
účetního systému. To je také hlavní cíl této kapitoly.
Poslední kapitola se týká praktické části. Popisoval jsem 2 podnikatelské subjekty. ČSOB Leasing a.s.
a Alcatel-Lucent Czech, s.r.o.
Cílem této kapitoly je představit čtenáři obě firmy z pohledu
zabezpečení dat. Popisuji rozdílnosti, které jsou zapříčiněné různým zaměřením podnikání a velikostí
společnosti.
Klíčová slova:
Bezpečnost, obecná ochrana, ochrana dat v počítači, data, účetnictví, právo, ochrana dat mimo
počítač, bezpečnost ve firmě Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s..
5
3.
ABSTRACT
This bachelor's thesis addresses the issue of Data Integrity and Protection in Computerized
Accounting.
In an initial section, I briefly outline the main forms of physical protection of hardcopy data, and a
historical overview of the evolution of computers and of the Internet.
This is followed by a section focusing on cryptography – a mathematical discipline concerned with
encoding and enciphering algorithms. It is here that I describe substitution ciphers and permutation
ciphers, how they are created, and how they can be decoded.
This chapter closes with the
"cyberspace", which I define as follows: a virtual world created by means of modern technology (e.g.
computers). The objective of this part of my paper is to familiarize the reader with basic cryptographic
terms and with cyberspace.
The second part of the paper is then fully devoted to data protection on computers. I describe the
variety of attackers who may defraud us of important data, among them e.g. hackers, crackers, white
hats, black hats, and the like. I also mention the basic forms of attacks and viruses. The objective
here is to present the reader with the risks to which their computer is exposed if they are connected to
the Internet without adequate data protection measures.
Electronic signatures represent a form of protection against abuse by unauthorized individuals.
A third section is concerned with the legal aspects of data protection. I describe laws and regulations
aimed at legal protection from data theft – for instance, the Data Protection Act (act No. 101/2000
Coll., as amended) on the protection of personal data. This chapter wants to introduce the reader to
their legal rights and claims, so that they may ascertain whether their rights have been violated, and to
the government authorities who are in charge of data integrity and protection.
A last theoretical part is devoted to the protection of accounting data. Here, I first give an overview of
how book-keeping developed over time, then describe the stages of an audit procedure, and finally
present important advice for firms which contemplate the acquisition of a new accounting system –
which is also the main objective of this chapter.
The last chapter is of a practical nature. For this purpose, I identified two global entities: ČSOB
Leasing a.s., and Alcatel-Lucent Czech s.r.o., with the objective to present these two firms to the
reader under the aspect of data protection. In this part, I describe the differences brought about by the
different focus and scope of business operations and the different size of each company.
6
Key words:
security, general protection, data protection on computers, data, accounting, law, protection of data
outside computers, data integrity at Alcatel-Lucent Czech s.r.o. and ČSOB Leasing a.s.
7
4.
PROHLÁŠENÍ
Prohlašuji, že svou bakalářskou práci na téma Bezpečnost a ochrana dat v účetnictví vedeném na
počítači jsem vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím odborné
literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou též uvedeny v seznamu
literatury a použitých zdrojů.
Jako autor uvedené bakalářské práce dále prohlašuji, že v souvislosti s vytvořením této bakalářské
práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl nedovoleným způsobem do
cizích autorských práv osobnostních a jsem si plně vědom následků porušení ustanovení § 11 a
následujících autorského zákona č. 121/2000 Sb.
V Praze dne
…….……………….
Jméno Příjmení
8
5.
PODĚKOVÁNÍ
Děkuji zaměstnancům firem Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s. za pomoc, ochotu a
neocenitelné informace, díky nimž jsem mohl úspěšně dokončit práci.
9
6. Obsah
10
7.
ÚVOD
Bakalářské práce na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači se zaměřuje
na základní způsoby ochrany dat s důrazem na účetní souvislosti. Nejdříve vymezím základní principy
fyzické ochrany, která zahrnuje ochranu dat v papírové formě. Následně budu popisovat historii vzniku
počítačů i internetu. Na první pohled se může zdát, že to nemá s ochranou příliš co dočinění. Zmiňuji
se o nich hlavně proto, že bez vývoje těchto technologií, bychom virtuální ochranu dat vůbec
nepotřebovali a stačila by nám jen fyzická. V další části mé Bakalářské práce se budu zmiňovat a
popisovat základní druhy kryptografie. Je to obor, který se zabývá šifrovacími a kódovacími algoritmy.
Zde budu popisovat jeho základní druhy od dob Caesara až po dnešek.
Další téma, které v úvodu popíši je kyberprostor, jeho definice a možné nebezpečí. Budu zde
popisovat, kolik dokážou státy investovat do bezpečnostních systémů. Přičemž využiji statistiku
názorů občanů ohledně využívání hackerů státy, jenž mohou být potencionální hrozbou.
Následně budu detailně popisovat bezpečnost a ochranu dat na počítači, protože v dnešní době se
účetnictví provádí pouze ve specializovaných programech prostřednictvím počítače. Proto se
domnívám, že popis ochrany dat na samotném počítači je velmi důležitá část. Popisuji zde, jakým
způsobem se můžeme chránit, ale spíše se zaměřuji na útočníky a způsoby jejich útoků.
Elektronický podpis bude ryze IT část před čistě účetní částí. Elektronický podpis se v dnešní době
hojně využívá v rutinních operacích v rámci společnosti a v účetnictví. Je to způsob jak ochráníme
posílaná data před případnými hrozbami.
Právo je důležitou součástí ochrany dat. Budu popisovat jaké zákony musíme dodržovat a do jaké
míry jsou zákony o ochraně dat rozšířené i mimo Českou republiku. Právní část bude obsahovat EU
směrnice, zákony, listinu základních práv a svobod. Kapitol uzavřu Zákonem o účetnictví.
Poslední částí před praktickým úsekem je samotná ochrana dat v účetnictví. Budu popisovat, jakým
způsobem se v historii účetnictví vyvíjelo. Dále budu rozebírat principy auditu a základní rady
společnosti při výběru účetního softwaru. Shrnu zde i obecné požadavky na software a co od něj firmy
očekávají.
Poslední část se bude týkat praktické aplikace bezpečnostních pravidel ve 2 firmách. Vybral jsem si
firmy ČSOB Leasing a.s. a Alcatel-Lucent Czech, s.r.o. Obě firmy působí mezinárodně a budu
popisovat jejich interní pravidla a směrnice ohledně zabezpečení jejich dat obecně i v účetnictví.
11
8.
ÚVOD DO BEZPEČNOSTI A OCHRANY DAT
Nacházíme se ve světě, který se díky počítačům a internetu neustále modernizuje a sbližuje. S tímto
fenoménem se objevují také různá nebezpečí, která nás mohou poškodit. Počítač je úložiště různých
druhů informací. Obyčejná data, profesní data, ale i soukromá a osobní data mohou být v ohrožení
ihned, jak se připojíme na internet nebo do sítě, či nedáme pozor na přístup k počítači.
Proto se
musíme chránit před vniknutím do PC a před způsobením jakékoliv škody. Pokud by naše ochrana
nebyla dostatečná, pak tyto informace mohou být zničeny nebo odcizeny. Vznikají tedy mnohá
nebezpečí, jimž se musíme vyhnout.
V dnešní době se veškerá data digitalizují, a proto se instituce zaměřují hlavně na ochranu proti
hackerům apod. Nicméně papírová ochrana dat existuje již mnoho let, protože jiný způsob uchovávání
informací do vzniku počítačů nebyl. Papírové listiny, tedy spíše pergamenové listiny, se uchovávaly a
strážily už ve starověkém Římě. Od té doby se neustále vymýšlí 100% způsob ochrany listinné formy
dokumentů. Dnes se ve firmách stále používají papírové formy dokumentů. Pro příklad: faktury, dodací
listy, samotné zaměstnanecké smlouvy apod. Firma je musí chránit před vlivy z nitra firmy.
Problémem jsou veřejné kopírky na chodbách firem, šanony plné smluv apod. Mnohá bezpečnostní
rizika se již daří úspěšně ošetřovat ve většině firem. Veřejné kopírky jsou dnes buď chráněné pin
kódem, nebo speciální identifikační kartou. Šanony jsou uzamčené ve skříních a mohou se k nim
dostat pouze lidé s klíčem. Velmi důležité dokumenty jsou v trezorech a servery jsou bezpečně
uzamčeny ve speciální místnosti. Firma má za povinnost veškeré písemnosti archivovat.
Obrázek č. 1: Přenos dat elektronickou vs. papírovou formou
1
1
http://www.isvs.cz/e-podpis-podatelny/papirovy-versus-elektronicky-dokument-27-dil.html
(2.12.2010)
12
Obrázek č. 1 popisuje využití internetu a ulehčení práce za použití Internetu. Pokud využijeme Internet
k přenášení faktur, pak bude celý proces dodávání mnohem jednodušší a rychlejší. Nicméně obecným
zvykem je, že se posílají spíše v papírové podobě, aby se mohly fyzicky archivovat.
1 Ochrana dat v papírové formě
Archivace účetních dokumentů je upravena dle „§ 31 zákona o účetnictví (zákon č. 563/1991 Sb.). Dle
tohoto ustanovení se musí účetní závěrka a výroční zpráva uschovávat po dobu 10 let počínajících
koncem účetního období, kterého se týkají. Ostatní účetní doklady, účetní knihy apod. se uschovávají
po dobu 5 let počínajících koncem účetního období, kterého se týkají. Tyto povinnosti se týkají všech
účetních jednotek. Porušení povinnosti uschovávat účetní záznamy je sankcionováno. Účetní
jednotce, která poruší povinnost uschovávat účetní záznamy, může být uložena pokuta až do výše 3
% hodnoty aktiv celkem. Pro účely vyměření pokuty se hodnota aktiv zjišťuje z účetní závěrky za
účetní období, ve kterém k porušení právní povinnosti došlo.“ 2 Firmy mají vnitřní směrnice, které má
firemní zaměstnanec povinnost dodržovat. Ve směrnicích jsou zmíněna základní pravidla bezpečnosti.
Neodcházet od neuzamčených šanonů nebo počítače. Nepůjčovat své osobní identifikační karty apod.
Rovněž je definováno, kdo může dokumenty vytvářet a jak lze tyto dokumenty archivovat. Velký
pokrok v technologii nám nepřináší jen prosperitu, ale i možná rizika. Dnes firmy nemohou ignorovat
největší riziko, které bohužel nelze ani omezit, a to vlastnictví mobilních telefonů s fotoaparátem.
Pomocí fotek může pachatel vynést citlivé informace týkající se firemních klientů, firmy samotné.
2 Historie ochrany dat na počítači
Ještě před několika desítkami let žádná ochrana v rámci počítačových sítí nebyla nutná, protože
žádný počítač ani internet nebyly. Počítače se dají historicky rozdělit na 4 druhy. Někdy se těmto
druhům říká Generace.
Tabulka č. 1 : Generace počítačů
Generac
e
Rok
Konfigurace
Rychlost (operací)
Součástky
Velký počet skříní
Jednotky
Relé
0.
1940
1.
1950
Desítky skříní
100 - 1000
Elektronky
2.
1958
do 10 skříní
Tisíce
Tranzistory
3.
1964
do 5 skříní
Desetitisíce
Integrované obvody
3 ½.
1972
1 skříň
Statisíce
Integrované obvody (LSI)
Integrované
obvody
4.
1981
1 skříň
desítky milionů
(VLSI)
2 http://www.epravo.cz/top/clanky/delka-archivace-ucetnich-dokumentu-42894.html (2.12.2010)
13
3
Obrázek popisuje, jak se v letech vyvíjely počítačové sestavy. Můžeme zde názorně vidět, že v dnešní
době jsou již mnohem sofistikovanější, než byly před 50 lety.
Bezpečnost začala být potřeba až při vytvoření sítí a Internetu a tehdy se začala transferovat data
mezi počítači nejdříve v rámci místnosti/budovy a pak mezi státy či kontinenty. Internet jako takový
začala vyvíjet armáda USA v době studené války a nazýval se ARPANET.
„1969 - vznik ARPANET
1974 - vytvoření jednotné normy komunikace TCP/IP
1979 - konečná podoba protokolů TCP/IP
1984 - více než 1000 uzlů v ARPANETU
1986 - vzniká NFSNET
1987 - 10 000 uzlů
1989 - 1 milion uzlů
1991 - první služba GOPHER (předchůdce www stránek)
1991 – v listopadu připojeno ČSFR – v Praze na ČVUT
1992 – komerční využití“4
V roce 1990 se tehdejší Československo připojilo k počítačové síti EARN. Byl to počátek opravdového
síťování u nás. Konečně bylo Československo připojeno "online" do mezinárodní sítě.5
3 Kryptologie
Vědecká disciplína, která se přímo zaměřuje na ochranu dat před neoprávněným vstupem, se nazývá
kryptologie. „Kryptologie je matematický vědní obor, který se zabývá šifrovacími a kódovacími
algoritmy“6. Kryptologii rozdělujeme na 2 základní části: kryptografii a kryptoanalýzu.
3
http://www.fi.muni.cz/usr/pelikan/ARCHIT/TEXTY/HISTOR.HTML (2.12.2010)
4 (www.samuraj.cz/clanek/internet-a-jeho-historie) (5.1.2011)
5 http://www.lupa.cz/clanky/jaky-byl-internet-v-praveku/ (5.1.2011)
6
(Tomáš Doseděl, Computer press 2004, str. 4)
14
Kryptografie – Je to obor, který se zabývá šifrováním a kódováním dat. Ač se zdají pojmy šifrování a
kódování stejné, nejsou.
1. Šifrování – sdělujeme tak určité utajené informace adresátům, jenž umí zprávu rozluštit.
Máme mnoho druhů šifer. Šifry se objevují již v dávné historii. První zmínka, která by se dala
požadovat za šifru, je z roku 1900 př.n.l. , kdy neznámý egyptský písař vytvořil naprosto odlišné
postavení hieroglyfů. Z roku 1500 př.n.l. se dochovala i nejstarší šifra na výrobu glazury na hrnce.
Takto bychom mohli pokračovat dále, nicméně šifry se začaly masově využívat až v 2. polovině 1.
století př.n.l., kdy Římané šifrovali své zprávy substituční šifrou. Od té doby se začaly šifry využívat a
zdokonalovat. Asi nejznámějším přístroj na šifrování zpráv je Enigma používaná německou armádou
za 2. světové války. Šifry rozdělujeme na 3 základní typy:7
A. Substituční – jak již bylo řečeno, vymysleli ji Římané. Principem substituční šifry je fakt, že
nahrazujeme jednotlivá písmena jinými písmeny či znaky. Pro příklad:
Tabulka č. 2: Příklad substituční šifry
Originální zpráva
AHOJ
Šifrovaná zpráva
BCHPK
8
Tabulka ukazuje, jak v praxi fungovala substituční šifra. Prolomení šifry nebylo příliš složité, ikdyž pro
cizince by bylo prolomení kódu složitější díky písmenům př.: ch, ž, š atd. Uvedl jsem pro příklad slovo
AHOJ, které jsem šifroval pomoc následujících písmen v abecedě. AHOJ – A, B, C, D,… - BCHPK.
Místo A jsem dal následující B.
Kvůli pozdější lehké prolamovatelnosti se v 16. století vylepšila šifra na polyalfabetickou substituční
šifru. Tato šifra vychází z více, než jedné abecedy nebo druhů znaků. Díky tomu se stala mnohem
obtížnější.
B. Permutační šifra – zde se šifra rozdělí na předem stanovené části textu a tyto části se
podle vytvořeného klíče navzájem promíchají. Pro příklad bych uvedl:
Tabulka č. 3: Příklad permutační šifry
Text:
UNICOR NCOLLE GEDAYS
Klíč
24153
Šifra
NOURO CLNEL EYGSA
7
www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman (5.1.2011)
8
www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman
15
Text:
UNICOR NCOLLE GEDAYS
9
Pokud chceme dešifrovat permutaci, pak musíme použít inverzní permutaci.
C. Polygrafická substituční šifra – tato šifra využívá rozdělení šifrovaného textu na jednotlivé
bloky, ale nyní nenahrazuje jednotlivá písmena ale rovnou celé bloky. Názorným příkladem je Hillova
šifra, která využívá nahrazování písmen čísly. Pro příklad to je A = 20, B = 30 apod.
2. Kódování – používá se, pokud posíláme zprávu, jež je pro veřejnost utajená. Využíváme
přitom mnoho způsobů, jakými ji můžeme předat. V historii se vyvinuly specifická typy kódování, jako
jsou:10
A. Morseova abeceda – která se používala hlavně při telegrafování. Vymyslel ji sochař a malíř
Samuel Horse a již v roce 1844 se pomocí Morseovi abecedy podařilo telegrafní spojení mezi
Washingtonem a Baltimorem. Při komunikaci kombinujeme dlouhé a krátké signály. Pro aplikování
Morseovy abecedy je potřeba zvuků.11
B. Znakový jazyk – jenž využívají neslyšící. Vyjadřují slova pomocí mimik, tvary a pohyby ruky,
pozicemi hlavy a horní části trupu.12
C. A další jako je vlajková abeceda, televizní norma PAL apod.
Velkým rozdílem mezi šifrou a kódem je, že kód je všeobecně známý. Většinou se pomocí kódu
neutajuje zpráva, ale jen se přenáší. Nejsou použita hesla, ani další nástroje na kryptování, jako jsou
klíče.
Hlavním úkolem kryptografie je chránit data a zabránit neautorizovanému pokusu o přečtení.
Šifrováním se vytvoří další data, která již jsou nečitelná pro nepověřenou osobu. Označují se jako
„ciphertext“, což do češtiny přeložil Tomáš Doseděl, autor knihy Počítačová bezpečnost a ochrana dat,
jako „šifrovaný text“. V dnešní době se razí směr, kdy se zveřejňují veškeré kryptografické algoritmy
9
www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman
10 www.unicornuniverse.cz předmět SEC, 12. Přednáška, autor David Hartman
11 http://cs.wikipedia.org/wiki/Morseova_abeceda (5.3.2011)
12 http://cs.wikipedia.org/wiki/Znakový_jazyk (5.3.2011)
16
na rozdíl od minulosti, kdy se prosazovalo přísné utajení. Pro utajené kryptografické algoritmy se vžilo
označení security through obscurity, což v překladu znamená: „Bezpečnost pomocí utajení“. Dnes se
IT bezpečnost zaměřuje na dokonalost šifer a kódů. „Je mnohem lepší, pokud je bezpečnost algoritmu
založena na jeho matematických vlastnostech, než na jeho utajení.“ 13
Kryptoanalýza – je oborem, který má jako hlavní úlohu analyzovat algoritmy a rovněž analyzovat
zašifrovaná data.
4 Kyberprostor
Termín kybernetická kriminalita původně vychází z anglického překladu: „Cybercrime“. Je to
kriminalita, která se odehrává v kyberprostoru, což je „Virtuální svět vytvořený moderními
technologickými prostředky (např. počítačem)“14 V současnosti jedinci nebo organizované skupiny,
které mohou chtít prolomit naší ochranu dat, neustále zdokonalují dešifrovací umění. Neustálá evoluce
v tomto odvětví je zapříčiněna a také omezena vývojem v oblasti ICT (information and communication
technologies). Mezi nejznámější kyber zločiny patří incident z 27. dubna v roce 2007 v Estonsku, kdy
bylo zcizeno velké množství dat z výzkumů agentury NASA. Hackeři nejčastěji využívají nepozornosti
uživatelů, či slabě zabezpečených infrastruktur, jako tomu bylo v Estonsku. Dnes již není problém
falšovat e-mailové adresy, jména, což umožňují dnešní sociální sítě na Internetu, apod. Kybernetická
kriminalita je nový jev, který se dostává stále více a více do popředí nejen díky způsobeným škodám a
ztrátám, které jsou značné, ale hlavně obtížná zjistitelnost pachatelů, která jim zajišťuje určité
bezpečí.15 Česká republika má státní agenturu, jejímž hlavním úkolem je odhalovat pachatele útoků a
pomoci při jejich eliminaci. Nazývá se BIS neboli Bezpečnostní informační služba.
„Podle zákona o zpravodajských službách ČR (č. 153/1994 Sb.) se Bezpečnostní informační služba
zabývá získáváním, shromažďováním a vyhodnocováním následujících informací:
1. Hrozby terorismu
2. Aktivity ohrožující bezpečnost nebo významné ekonomické zájmy státu
3. Činnost cizích zpravodajských služeb na našem území
4. Záměry nebo činy mířící proti demokratickým základům, svrchovanosti a územní celistvosti ČR
5. Aktivity organizovaného zločinu
6. Činnosti ohrožující utajované informace“ 16
13 (Tomáš Doseděl, 2004, str. 25)
14
(www.slovnik-cizich-slov.abz.cz/web.php/slovo/kyberprostor). (5.3.2011)
15 http://is.muni.cz/th/342895/fss_m/Budoucnost.kyber.teror.Aberle.DP.pdf (5.4.2011)
17
Velice často skloňovaný název v souvislosti s kybernetickou kriminalitou je kybernetický terorismus.
Účastníci mohou být jednotlivci, sub-státní systémy, tajní agenti a spekuluje se i o infiltraci státní moci
do tohoto odvětví.
Cíle kybernetického terorismu jsou různé, nejčastěji se zaměřují na získávání informací nebo
podkopávání infrastruktury daného státu. Uvažuje se možnosti existence incidentu, který se nazývá
Kybernetická válka (cyber war). Kybernetická válka je izolována od širšího konfliktu, odvíjí se v
prostředí zcela odlišném od tradičního vedení boje a nabízí nekrvavou alternativu nebezpečí a
nákladnosti moderní války. Kybernetický boj bude téměř určitě mít zcela reálný fyzický dopad. 17
Samotné podkopávání států mohou mít v úmyslu jiné země. Otázkou zůstává, kdy je tento způsob
intervence do další země špatný a kdy nikoliv. Podle grafu od firmy Phoboslabs vytvořeného v roce
2010 můžeme vidět, jak lidé reagují na informační intervenci mez státy:
Obrázek č. 2: Je správné špehovat nebo instalovat viry do systémů jiných zemí?
16 (http://www.bis.cz/cim-se-zabyvame.html) (5.4.2011)
17 http://www.army.cz/scripts/detail.php?id=309 (12.4.2011)
18
18
Jasně vidíme, že špehování a instalování naprosto schvaluje 23 % dotázaných respondentů.
Absolutně odmítá jakoukoliv podobnou intervenci celých 37 % respondentů a zbytek, tedy 40 %
respondentů souhlasí, jen pokud budou země ve válce.
V dnešní době mnoho států jako je třeba USA, Francie, Velká Británie investuje významné částky do
zlepšení a ochrany infrastruktury a obchodů v zemi před možnými útoky.
Federální vláda USA v roce 2010 spustila program, který se nazývá „Perfektní občan“. Tento program
by měl detekovat veškeré pokusy i úspěšné útoky na soukromé podnikatelské subjekty, ale i na státní
úřady a státní firmy, které mohou představovat potencionální nebezpečí pro občany, jako jsou jaderné
elektrárny apod. Smlouvu na celkem 100 miliónů dolarů získala ve veřejné soutěži firma Raytheon
Corp. Cílem programu je vytvořit celostátní databázi útoků a následně instituce, které budou mít
přístup k daným informacím. Díky tomu budou moci zefektivnit bezpečnost a ochranu dat.19
18 http://www.sophos.com/security/topic/security-threat-report-mid2010/cyberwar-cyberterror.html
19http://online.wsj.com/article/SB10001424052748704545004575352983850463108.html
(5.3.2011)
19
9.
BEZPEČNOST A OCHRANA POČÍTAČE
Bezpečnost a ochranu dat na PC firmy zajišťují mnoha způsoby. „Vlastní ochrana dat se skládá ze
čtyř částí. Je potřeba ochránit fyzický přístup k nosičům dat, logický přístup k datům, ochránit uložená
data a data přenášená počítačovou sítí a ochránit data před úmyslným či neúmyslným zničením.“ 20
Ochranu dělíme podle způsobu, jakým se mohou data ocitnout v nebezpečí.
1. Ochrana proti přírodním živlům
Při umisťování počítačů musíme brát v úvahu i živelné pohromy, které mohou nenávratně
zničit veškerá data. Mezi živelné události, které nám mohou poškodit PC, počítáme: požár, povodeň.
Zbývající živelné katastrofy v našich zeměpisných šířkách nepřipadají do úvahy. Chráníme PC pomocí
detektorů požáru, které dnes hasí oheň i plynem, takže nijak nepoškodí uložené počítače. Umístění
serverovny by mělo být ve vyšším patře, aby v případě povodně byla veškerá data bezpečně v suchu.
Do této kategorie počítáme i škody, které nezavinil člověk. Kolísání napětí elektrického proudu
zapříčiní zkrat v PC nebo jeho samotné vznícení. Chránit se můžeme přípojkami, které absorbují toto
kolísání. Další faktor, který může poškodit nebo úplně zničit počítač, je neklimatizovaná místnost. Proti
přehřívání PC pomáhá mnoho inovací, jakými jsou: kvalitní prachové filtry, kvalitní izolace místnosti,
aby chlad neutíkal, apod.
2. Ochrana proti neoprávněným osobám
Pokud data nejsou veřejná, pak by měla mít organizace definované zaměstnance, kteří budou
mít přístup k datům. Proti neoprávněným osobám rozdělujeme ochranu na fyzickou ochranu a
systémovou ochranu
a) Fyzická ochrana
Zaměřuje se na fyzickou ochranu serverů a počítačů jako takových. Proto je potřeba zajistit
bezpečnost PC proti vniknutí neoprávněných fyzických osob. Základní ochrana fyzických serverů je
zámek, uzavřené neprůchodné místnosti, stráž, kódy apod.
b) Systémová ochrana21
Jejím hlavním úkolem je ochránit počítač tak, aby do něj nemohl vniknout útočník pomocí
internetu nebo sítě. Nejúčinněji můžeme chránit data pomocí zašifrování. To znamená, že pokud se
povede útočníkovi prolomit ochrana počítače, pak si nebude moci žádná data přečíst. Následně je
musíme zálohovat do stroje nebo datového nosiče jako je Flash disk nebo CD, DVD, protože jestliže
se útočník dostane do systému a nebude moci data přečíst, je zde možnost, že je bude chtít následně
zničit.
20 Tomáš Doseděl, 2004, str. 7
21 Tomáš Doseděl, Computer press 2004, str. 7
20
1 Ohrožení dat
Když hovoříme o útocích, pak si musíme nejdříve definovat útočníky. Ty můžeme definovat podle
jejich zkušeností, záměru či způsobu prolomení ochrany počítače. Rozlišujeme základní 3 typy
útočníků:
1. Amatér – ti se příliš neorientují v systémech a virech a proto je jejich nebezpečnost
minimální. Amatéři většinou neumí napsat skript ani vytvořit vir, a pokud prolomí obranu a dostanou se
do systému, pak je to buď prakticky žádnou ochranou, nebo zafungoval faktor náhody. Proti amatérům
většinou stačí i minimální zabezpečení.
2. Hackeři – tyto lidé jsou již vzdělaní v daném oboru a dokážou vniknout do systému i přes
dobré zabezpečení. Hackeři jsou většinou studenti IT oborů. Jsou ovšem limitováni časem a
prostředky. Hackeři většinou jen sbírají informace, zkušenosti a někteří to berou jako sport. Musíme
také rozlišovat pojmy Hacker a Cracker.
Hacker – se snaží dostat do systému prolomením ochrany. Nicméně není jeho hlavním cílem
zničit nebo ukrást informace, spíše jde jen o to dostat se přes zabezpečení.
Cracker – ten se zaměřuje hlavně na poškozování subjektů, jejichž systémovou ochranu
prolomil. Snaží se tedy zničit, ukrást informace či jinak uškodit.22
3. Profesionálové – sám význam slova profesionál nám ukazuje potencionální nebezpečnost
profesionálního útočníka. Jsou to většinou sponzorované nebo dobře zajištěné skupiny lidí, které jsou
vysoce kvalifikovaní v IT systému a velmi dobře se orientují v počítačích. Jsou vskutku nebezpeční,
ale většinou se zaměřují jen na perspektivní systémy, takže koncový uživatel počítače se nemusí bát.
Tyto skupiny mohou být pouze zločinné organizace nebo i státem podporované.
Útočníky dále může rozdělit dle způsobu jejich útoku:
1. Vnitřní útočník – útočník je většinou řadový zaměstnanec firmy, která byla napadena.
Velkou výhodou je jednoduché dohledání útočníka. Kamerový systém nebo systémové zabezpečení
v podobě záznamu veškerých aktivit na počítači je velmi efektivní nástroj dohledání útočníka.
2. Vnější útočník – ti jsou mnohem obtížněji vypátratelní, už jen z důvodu, že mohou operovat
prakticky kdekoliv na světě. Při pátrání po vnějších útočnících jsou mnohdy zapojeny i různé státy i
bezpečnostní organizace jednotlivých států.
Hacker má dnes význam velmi odlišný od významu, ve kterém vznikl. Původně se tak označovali
programátoři, kteří měli za úkol vyhledávat chyby v systémech a opravovat je tak, aby fungovaly
efektivněji a bezchybně. Tyto zásahy v systémech se nazývají v anglickém jazyce slovem „Hack“ a
odtud se odvodil název Hacker. Nejranější způsob hacku se ještě netýká počítačových systémů, ale
obyčejného tkalcovského stavu. Datoval se rok 1801 ve Francii, kdy tkadlec Jacquard vymyslel
tkalcovský stav natolik automatizovaný, aby potřeboval minimální lidskou sílu.
22 http://www.linuxexpres.cz/blog/hacker-vs-cracker (7.3.2011)
21
Masově hack začala používat jedna z protiválečných organizací: yppies. Jejich vůdce Abbie Hoffmann
se dorozumíval se svými kolegy pomocí telefonů, které nikdy nemusel neplatit. Stejně tak jako John
Draper, který roku 1971 zjistil, že dokáže obelstít telefonní ústředny pomoci píšťalky. Pokud píšťalka
dokáže vyloudil zvuk o frekvenci 2600 Hz, pak jeho hovor byl zdarma.
Dnes nejsou hackeři a crackeři natolik neškodní, jako jejich historičtí předchůdci. Dle knihy Počítačová
kriminalita, Michal Matějka, Computer press, 2002, str 44, 54, dělíme hackery a crackery do několika
skupin podle jejich působnosti a hrozeb:
1. Script Kiddies – ti jsou neuznávanými v hackerské komunitě a spíše jsou považovány za
atrapy a špatné hackery.
2. White Hats – hackeři, kteří zastávají původní smysl hacku, tedy najít chybu a upozornit na
ni, případně ji opravit. Nicméně nikdy nezneužívají svých postavení a nenapadají servery a webové
hostingy.
3. Gray Hats – zastávají názor, že zveřejnění informací o chybě v systému napomáhá jeho
bezpečnosti. Jsou to hackeři, kteří většinou jsou mezi dobrými a kriminálními hackery.
4. Black Hats – kriminální hackeři, které zajímá vlastní obohacení.
5. Elite – označuje se tak skupina hackerů, kteří se proslavili po celém světě. Patří sem třeba
Vladimir Levin, který se pokusil převést 10,7 miliard korun českých na svůj účet z účtů banky Citibank.
Vladimir Levin byl chycen a po dlouhých soudních sporech se bance Citibank vrátila téměř celá částka
kromě 8 milionů korun českých.23
Typy útoků na systémy jsou různé. Můžeme očekávat 3 typy:
1. Virus - virus
2. Spam – není počítačovým virem v pravém slova smyslu, ale spíše nevyžádaná pošta.
3. Spyware – sleduje činnosti uživatele programu a neustále odesílá přes internet potřebné
informace tvůrci. Dnes to má hodně freeware aplikací.
Viry dělíme:
1. Klasické viry – ty infikují soubor, a pokud je antivir nenalezne, pak se začnou šířit do celého
systému. Jsou velmi podobní biologickým virům.
2. Bootovací viry – viry jsou umístěné v bootovací části počítače a spouští se vždy při načítání
systému v počítači.
3. Stealth viry – jsou takové, které nejsou vidět v seznamu procesů a díky tomu jsou těžce
dohledatelnými.
4. Polymorfní viry – jejich zdrojový kód obsahuje náhodně generované části a díky nim je pro
antivirový program velmi těžké nalézt a zničit vir.24
23 Michal Matějka, Computer press, 2002, str: 20,44,54
24 (www.unicorncollege.cz, předmět SEC, 12. Přednáška, autor David Hartman, 9.3.2011)
22
Každý uživatel počítače by měl dbát na co nejlepší ochranu svých dat pomocí specifických programů.
Počítače ohrožují mnohá nebezpečí.
Prvním nebezpečím, které bych rád zmínil, je vir typu červ nebo worm – ten se zaměřuje na chyby a
mezery v rámci operačních systémů. Rozšiřuje se nejčastěji e-mailem. Nejznámější podoba worm viru
je virus I Love You. Tento virus je označován jako jeden z nejničivějších na světě a první zmínka o
jeho útoku je ze 4. května roku 2000 z Filipín. Virus způsobil odhadem škodu za 5,5 miliardy
amerických dolarů a infikoval více než 45 miliónů počítačů.25
Dalším virem, který je schopen poškodit naše soubory a data, je velmi rozšířený typ viru: Trojský kůň,
tzv.:Trojans. Jedním z představitelů je program Back Oriffice díky němu se můžeme vzdáleně připojit
na cizí počítač, kde je vir (program) nainstalován a můžeme na něm pracovat, jako bychom u něj
seděli. Tomuto typu viru se říká Back door vir.
Další druhy trojských koňů jsou:
1. Dialer – tento program funguje na principu, že automaticky přepne internetového providera
na jiného, mnohem dražšího. Majitel o přepnutí neví a zjistí to, až když mu dojde účet za internet.
2. Keylogger – zaznamenává veškeré používání klávesnice počítače. Díky tomu počítačový
pirát získá přístupová hesla a loginy do systémů apod.
3. Dropper – je nosičem virů. Svým spuštěním se aktivují viry uvnitř něj a rozešlou se do
systému.
4. Downloader – má podobnost v předešlém viru Dopper, ale odlišuje se od něj tím, že
neobsahuje viry, ale při aktivaci je stáhne ze sítě či internetu.
5. Trojan – proxy – díky tomuto programu může útočník využívat internet napadeného
uživatele. Z napadeného počítače se stává proxy server, tedy mohou se na něj připojit uživatelé a
používat přes něj internet nebo vstup do sítě.
6. Rootkit – program zamezuje úplnou kontrolou nad uživatelským počítačem. Zakrývá tedy
jisté aplikace a pochody počítače tak, aby to majitel nezjistil.
7.Hoax – ke svému šíření nejčastěji využívá email. Většinou je to upozornění na jistý druh
počítačového viru. Pokud uživatel otevře tento email, vir se dostane do jeho počítače.26
25 http://cs.wikipedia.org/wiki/I_Love_You (9.3.2011)
26 (www.unicorncollege.cz, předmět SEC, 12. Přednáška, autor David Hartman)
23
Tabulka č. 4: Klasifikace útoků
Klasifikace útoků
Útoky
Rozšířenost
Zkušenosti
Dopad
Celkové riziko
Odhalování hesel
8
9
8
8
Odhalení hesel uložených v paměti
9
9
8
8
DoS útok
8
9
8
8
Bootovací vir
8
10
10
9
Back oriffice
10
9
10
10
Útok na Dail-up server
8
9
8
8
Útok na sdílené soubory a tiskárny
8
9
8
8
27
Tabulka nám znázorňuje, jak moc nebezpečné jsou různé útoky, se kterými můžeme přijít do styku.
Klasifikace je 1 – nejnižší riziko, 10 – nejvyšší riziko.
Rozšířenost – tím je myšleno, jak často jsou útoky používané (1 – minimálně, 10 – velmi časté)
Zkušenosti – schopnosti potřebné k provedení útoku (1 – laik, 10 – programátor)
Dopad – následky v systému (1 – malé či nicotné, 10 – destruktivní)
Spyware je další aplikace, která může ohrozit náš počítač. V rámci společností je spyware rizikový
program, protože jeho princip je, že posílá informace z počítače uživatele na jiný bez jeho souhlasu.
V dnešní době se spyware rozšiřuje hlavně přes internet a využívá chyb v prohlížečích internetových
aplikací, které umožňují instalaci programu bez akceptování uživatele. Projevem programu může být
zpomalení počítače. Do kategorie spyware jsou umístěny následující programy:
1. Phishing – princip útoku je, že útočník kontaktuje osobu (uživatele) přes e-mail a vydává se
za známou organizaci, jako jsou banky, administrátoři apod. Celé snažení útočníka je zaměřené na
získání důležitých či osobních informací, aby uživateli mohl vykrást bankovní konto.
Nejznámějším incidentem byla kauza Citibank, kde Vladimir Levin roku 1997 ukradl z kont uživatelů
Citibank celých 10,7 miliard korun českých.
2. Vishig – dnes mnohem rozšířenější odrůda phishingu. Princip tohoto útoku spočívá rovněž
v poslání e-mailové pošty, která vypadá jako od důvěryhodné instituce (administrator, banka, úřad
apod.) a v ní je uvedeno telefonní číslo. Další komunikace mezi útočníkem a obětí je osobní přes
telefon. Tímto způsobem nic netušící oběť začne důvěřovat útočníkovi a po pár dobrých radách při
opravě systému, které většinou zapříčiní útočník viry, je někdy i ochotna prozradit osobní informace.
27 Sturart Mcclure, Joel Scambray, George Kurtz Computer press Brno 2003,)
24
Útočník požadavek vždy zaobalí tak, aby oběť měla pocit, že po vyzrazení informací bude vše
mnohem rychleji vyřízené a opravené.
Spam nelze pokládat za vir, je to spíše nevyžádaná pošta. Název Spam byl odvozen z amerických
konzerv lančmítu, jejichž popularita byla největší během 2. světové války a krátce po ní. SPAM
konzervy vznikly v 30. letech a vyrábějí se dodnes. O vzniku prvního spamu se dodnes spekuluje, ale
jsou názory, že první spam byl vytvořen 1. května roku 1978. Zaměstnanec společnosti Digital
Equipment Corporation poslal, v té době ještě přes ARPANET, informace týkající se služeb firmy.
Následovali ho další průkopníci nového způsobu reklamy. Roku 1993 to byl Richard Depew nebo
spam z 18. ledna 1994, jenž věštil konec světa. Spam měl předmět Global Alert For All: Jesus is
Coming Soon (Upozornění pro všechny: Ježíš brzy přijde).28 Upozornění vzniklo kvůli globálním
problémům s přírodními katastrofami.
V rámci České republiky spam upravuje zákon v platném znění 480/2004 o některých službách
informační společnosti. Tento zákon upravuje fakt, že nezákonný spam je pouze ten, který uživatel
předem neodsouhlasil. Dělíme tedy Spam do 2 kategorií:
1. Opt-in – je uzákoněn v českém zákoníku jako zákon v platném znění 480/2004, kde se říká,
že nikdo nesmí zasílat spam bez povolení.
2. Opt-out – patří do zákonů USA, kdy uživateli mohou posílat veškeré spamy automaticky.
Pokud koncový uživatel již nechce pobírat spam, pak musí sám napsat a požádat o zamezení zasílání
spamu. Až tehdy je spam nezákonný.29
2 Způsoby ochrany dat
Jakým způsobem můžeme chránit náš počítač a data v něm uložená? Základní způsob ochrany je
šifrování souborů. Uživatel si může sám určit, jaké soubory jsou natolik důvěrné, že musí být
zašifrovány. Způsoby šifrování jsou různé. Nejčastěji se využívají programy ZIP a PKZIP. Pokud
chceme šifrovat soubory v rámci celé firmy, pak můžeme implementovat šifrovací program přímo do
systému firmy a tím se veškeré informace splňující předem nadefinované parametry zašifrují. Do této
kategorie patří pluginy, jako na příklad PGP plugin. PGP neboli Pretty Good Privacy se užívá nejčastěji
pro šifrování e-mailových zpráv.30 Každá ztráta dat může být velkým problémem pro jakoukoliv firmu.
28 http://cs.wikipedia.org/wiki/Spam (10.3.2011)
29 https://uu.unicornuniverse.eu (5.3.2011 předmět SEC, Úvod do kryptografie, autor David
Hartman)
30 http://referaty-seminarky.cz/sifrovani/ (5.3.2011)
25
Obzvlášť je důležitá ochrana v účetnictví, protože pokud útočník vymaže jeden soubor, pak celý
výsledek nemusí dávat vůbec smysl.
Základní ochrana dat je zálohování. Princip zálohovací činnosti je v uchovávání dat na jiném úložišti,
než je původní. Pokud by hlavní systém zkolaboval, pak bychom bez problémů mohli obnovit zálohu a
pokračovalo by se v činnosti bez větších prodlev. Uživatel by měl zálohovat co v nejkratších časových
intervalech a pokud možno po celou dobu své práce. Je několik způsobů, jak můžeme zálohovat data
v počítači:
1. Kopírování – prosté kopírování dat.
2. Komprimace – složitější než kopírování. Většinou se využívají speciální programy, díky
nimž se zmenší objem dat pro archivaci.
3. Zálohovací programy – jsou to programy, které automaticky zálohují data. Jsou obsaženy
v novějších operačních systémech Microsoftu.
Zálohovat data můžeme na veškerá média, jako jsou: DVD, CD, Flash disky, externí paměti, diskety
apod.
4. Zrcadlení disků – spočívá v tom, že se vytváří stejná data souběžně na dvou discích. Při
napadení jednoho z disků veškeré informace jsou uložené na druhém.
Doporučuje se dobrá prevence před útokem, než náprava. Proto bychom měli k datům a jejich
zabezpečení přistupovat zodpovědně. Můžeme chránit naše data pasivně i aktivně. Pasivní způsob
zahrnuje základy bezpečnosti jako nepouštět cizí osoby k počítači nebo nespouštět nedůvěryhodné
programy. Společnost si musí své zaměstnance vychovat tak, aby zamezila ohrožení z nedbalosti.
„Dalšími, spíše obecnými, pravidly u pasivní ochrany jsou:
1. Používat legálně získaný software
2. Mít nainstalován pouze software, který používáte (pro omezení počtu míst, kde Váš systém
může být napaden)
3. Pravidelně aktualizovat software vydanými opravnými balíčky (ne jenom operační systém)
4. nespouštět přílohy e-mailu od neznámých lidí nebo v e-mailech, které se vymykají běžné
korespondenci s osobou (např. psány jiným jazykem apod.)
5. Pro běžnou práci se do systému přihlašovat jako běžný uživatel, nikoliv jako privilegovaný
uživatel (s administrátorskými právy)
6. Někteří bezpečnostní pracovníci doporučují nepoužívat MS Internet Explorer (a Outlook
Express), ale nějaký jiný alternativní prohlížeč jako například Firefox nebo Opera
7. Používat SW proti přesměrování připojení“ 31
„Aktivní ochrana je stejně důležitá pro zabezpečení dat. Odborníci zmiňují hlavně instalace
antivirových programů. Dále:
1. Pravidelná aktualizace databáze o nové definice virů.
31 (www.unicornuniverse.cz , SEC přednáška, autor David Hartman)
26
2. Programy zabezpečující odstraňování spyware a jejich pravidelná aktualizace o nové
definice (podobně jako u antivirových programů).
3. Software pro detekci rootkitů.
4. Software pro tzv. Blacklisty nebezpečných webovských sídel.“32
3 Elektronický podpis
Elektronický podpis je užíván v České republice od roku 2002, kdy byl přijat zákon v platném znění č.
227/2000 Sb. O elektronickém podpisu. Právě díky elektronickému podpisu se zrovnoprávnil vztah
mezi elektronickým a spisovým dokladem. Účetní záznamy se tím mohou posílat i v elektronické
formě, přičemž z pohledu práva jsou stejné a dokonce i převoditelné na fyzické účetní doklady.
Z elektrického dokladu se může udělat fyzický spis, ale z fyzického nelze udělat elektronický, protože
by se kompletně znehodnotil podpis na dokumentu. Elektronické podpisy se používají při komunikaci
s jiným odděleními mimo účetní jednotku. Elektronickému podpisu se také říká podpis digitální a
můžeme tím podepsat prakticky jakýkoliv soubor či data, která jsou v digitální podobě. Je stejně jako
podpis rukou naprosto unikátní. Je vygenerovaný z čísel například z 1024 jedniček a nul. Tato
kombinace je natolik složitá, že není možné, aby ji člověk napodobil, což zvyšuje důvěryhodnost
informací a dat, které jsou posílané přes internet.
Každý dokument vytvořený v počítači je tvořen z jedniček a nul. Z nich se vytvoří sumarizace,
které se říká Hash. Hash se v rámci jednoho souboru nikdy nemění. Nicméně nelze pomocí hashe
znovu získat podobu šifrovaného souboru. Digitální klíč využívá metodu asymetrické kryptografie, kdy
je vytvořen privátní klíč, který vlastní majitel a odesílatel zprávy a dále se k němu vytvoří veřejné klíče,
které se rozešlou všem uživatelům, kterým bude zasílána zašifrované zpráva. Postup je takový, že
nejdříve uživatel spojí svůj privátní klíč s hashem vytvořený z dokumentu. Ten se pak takto uzamkne a
odešle se příjemci zprávy. Ten díky veřejnému klíči, který vlastní, může ověřit pravost zprávy a rovněž
i má potvrzeno, že nikdo se zprávou nemanipuloval. Z veřejného klíče se nikdy nedá zjistit vzhled klíče
privátního, což zajišťuje zabezpečení a ochranu dat. Aby příjemce zjistil, zdali je to podpis dané osoby,
musí být podpis potvrzený certifikátem. Tento certifikát je vydán certifikační agenturou, jež ověřuje
veškerá data napsaná v certifikátu. Mezi data patří identifikace vlastníka či podniku. Certifikát může
uživatel získat dvěma způsoby:
1. Elektronický certifikát – je mnohem méně průkazný, protože certifikační agentura nemá
možnost si ověřit správnost údajů
2. Kvalifikovaný certifikát – pro obdržení kvalifikovaného certifikátu si musí uživatel osobně
dojít do certifikační agentury pro vystavení.
32 (www.unicornuniverse.cz , SEC přednáška, autor David Hartman)
27
Certifikát, který dostane uživatel, má certifikační číslo, dobu platnosti, po které se musí platnost
certifikátu prodloužit a někdy i účel vytvoření. Příjemce podepsaného dokumentu získá jeho
odemčením veřejným klíčem jednak dokument samotný a také informace o certifikační agentuře, která
certifikát vystavila. Certifikační autorita musí být důvěryhodná.33
33 http://www.recomando.cz/elektronicky-podpis (12.3.2011)
28
10.
PRÁVNÍ OCHRANA
Základním právním předpisem, jimž se musí řídit každá osoba jak fyzická, tak i právnická, se nazývá
Ústava. V České republice byla přijata 16. prosince 1992 pomocí České národní rady a vzešla
v platnost následující rok, tedy 1. ledna 1993. Ústava je zapsána ve sbírce zákonů jako právní předpis
č. 1/1993 Sb. Součástí ústavního pořádku je Listina základních práv a svobod, která vyjadřuje vztahy
mezi občanem a státem. Listina je souborem 44 článků, které čerpají z Všeobecné deklarace lidských
práv z roku 1948, Mezinárodního paktu o občanských a politických právech (1966), Mezinárodního
paktu o ekonomických, sociálních a kulturních právech (1966), Evropské konvence o ochraně práv
člověka a základních svobodách (1950), Evropské sociální charty, ale také z československé ústavy z
roku 1920 a rakouské ústavní úpravy z roku 1867.34
Listina nám zaručuje, že každý má způsobilost mít práva a povinnosti od narození. Existují 2 typy
způsobilosti.
První typ se nazývá způsobilost k právům a povinnostem, tedy právní subjektivita. Ta vzniká při
narození a zaniká smrtí osoby nebo jejím prohlášením za mrtvého.
Druhý typ způsobilosti je způsobilost k právním úkonům. Člověk získá způsobilost k právním úkonům
až při dosažením zletilosti, to znamená 18 let. Zaniká smrtí, ale může být člověku odebrána soudem,
pokud není způsobilý k právním úkonům, to znamená, že člověk je psychicky postižený nebo není
schopen se rozhodovat, případně si neuvědomuje následky svého počínání. Soud může způsobilost
k právním úkonům jen omezit. Opatření takového druhu se provádí hlavně u narkomanů a alkoholiků,
kteří odpovídají za své činy, ale nemohou si půjčovat peníze nebo sázet.
Pokud uvažujeme v rámci bezpečnosti a ochrany dat, pak nás zajímá právo obsažené v Listině
základních práv a svobod jakým je čl. 1, který pojednává o rovnosti v důstojnosti i v právech všech lidí.
Základní práva a svobody jsou nezadatelné, nezcizitelné, nepromlčitelné a nezrušitelné.
Čl. 3 odst. 3 znamená, že každý člověk může činit, co není zákonem zakázáno, a nikdo nesmí být
nucen činit, co zákon neukládá. Zakazuje lidem činit jakékoliv protiprávní kroky v rámci bezpečnosti a
ochrany dat.
Čl. 7 odst. 1, zaručuje nedotknutelnost osoby a jejího soukromí. Omezena může být jen v případech
stanovených zákonem.
V bezpečnosti by nás měl hlavně zajímat celý článek č.10, který obsahuje 3 odstavce:
(1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno
jeho jméno.
(2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.
(3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným
zneužíváním údajů o své osobě.
Omezení potřebné pro bezpečnost záznamů a písemností je zmíněné v čl. 13 tedy, nikdo nesmí
porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí,
34 http://cs.wikipedia.org/wiki/Listina_základních_práv_a_svobod (16.2.2011, portál: Právo)
29
nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon.
Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným
zařízením.
Státní orgány dle Listiny základních práv a svobod, mohou činit pouze to, co jim výslovně zákon
dovoluje. Na rozdíl od fyzické osoby, které může činit vše, co jí zákon výslovně nezakazuje. Státních
orgánů se týká čl. 17 odst. 5, který ustanovuje povinnost přiměřeným způsobem poskytovat informace
o své činnosti.
Ústavě, jako nejvyšší právní normě, nesmí žádný zákon odporovat. V českých právních normách
existují kolizní pravidla. Jsou to základní principy, kterými určujeme priority právních norem. Právní řád
dodržuje 3 kolizní pravidla:
Lex superior derogat inferiorit – právní norma vyšší právní síly má absolutní přednost před právní
normou nižší právní síly. Pro příklad bych uvedl postavení Ústavy a vyhlášky. Vyhláška nikdy nesmí
odporovat Ústavě.
Lex specialis derogat generali – Speciální právní norma má přednost před obecnou právní normou.
Příkladem je vztah obchodního zákoníku (zvláštní úprava, lex specialis) a občanského zákoníku
(obecná úprava, lex generalis).35
Lex posterior derogat priori – Pozdější právní norma má přednost před dřívější právní normou.
Například pozdější obecný zákon má přednost před dřívějším obecným zákonem. Tyto vztahy mohou
být sporné v závislosti na různé úrovni zákonů.
O ochraně údajů a bezpečnosti dat se nedozvídáme jen v již zmíněných právních předpisech, ale
musíme dodržovat specifické zákony, které jsou nadnárodní i národní.
Nadnárodní právní dokumenty
Celosvětové nebo evropské právní dokumenty jsou důležité pro ochranu států, lidí a jejich vzájemnou
kooperaci. Mezi nadnárodní právní dokumenty patří
Všeobecná deklarace lidských práv 1948,
Úmluva o ochraně lidských práv a základních svobod (č.209/1992 Sb.),
Evropská sociální charta (č.14/2000 Sb.m.s.),
Evropský zákoník sociálního zabezpečení (č. 90/2001 Sb.m.s.),
Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (č. 115/2001
Sb.m.s.).36
Osobní údaje, které používáme při registraci do knihoven, internetu, sociálních sítí, se používají i
mimo zemi, ze které vyšly. V rámci Evropské unie se tímto problémem zabývají jak Evropská komise,
35 http://iuridictum.pecina.cz/w/Kolisní_pravidla (17.2.2011)
36 http://www.esyhandicaphelp.wgz.cz/prehled-nejdulezitejsich (17.2.2011)
30
tak i Rada EU a Evropský parlament. Na úrovni Rady EU řeší tyto otázky Rada pro obecné záležitosti.
Evropský parlament jedná na toto téma v rámci Výboru pro občanské svobody, spravedlnost a vnitřní
věci.37 Evropská komise na začátku 90. let předložila Radě EU návrh týkající se zabezpečení
osobních dat, který se nazýval: Směrnice týkající se ochrany jednotlivce v souvislosti se zpracováním
osobních údajů. Zmíněná směrnice byla až do roku 1995 projednávána a téhož roku, přesněji 24.
Října 1995 byla schválena Radou EU a Evropským parlamentem.
Po schválení se směrnice označuje jako Směrnice 95/46/ES, která obsahuje základní pravidla pro
ukládání, distribuování a zabezpečení osobních údajů. Lidé i organizace se musí touto směrnicí řídit
jak při zpracovávání údajů na počítači, tak i na neautomatizovaných systémech. Směrnice zavádí
termín „správce údajů“ (tj. osoba nebo orgán, který určuje účel a prostředky zpracování), s cílem
sledovat řadu pravidel: čestné a zákonné zpracování, jednoznačný a legitimní účel sběru a
zpřístupňování údajů, rozsah odpovídající účelu, pro který jsou data zpracovávána, přesnost údajů a
tam, kde je to potřebné, i aktuálnost údajů.38 Správce musí stanovit zástupce v dané zemi, jimž může
být orgán nebo skupina orgánů, které dohlížejí na dodržováním směrnic a případně nahlašují
nedodržení směrnic.
Členské státy stanovily, že osobní údaje musí být:
1. Shromažďované pro stanovené účely
2. Přiměřené a podstatné
3. Přesné i aktualizované
4. Uchovány ve formě umožňující identifikaci subjektů
Ve článku 13 téže směrnice se hovoří o výjimkách a omezeních, tedy stát může přijmout legislativní
opatření pro omezení práv, pokud je to důležité kvůli zajištění:
1. Bezpečnosti státu
2. Obrany
3. Předcházení trestním činům a jejich vyšetřování
4. Významného hospodářského nebo finančního zájmu členského státu
5. Kontrolní, inspekční nebo regulační funkce
6. Ochrany subjektu údajů nebo práv a svobod druhých39
37 http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii (17.2.2011, autor: Jitka Hradilová,
Ikaros [online]. 2008, roč. 12, č. 2 [cit. 17.02.2011])
38 http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii (17.2.2011, autor: Jitka Hradilová,
Ikaros [online]. 2008, roč. 12, č. 2 [cit. 17.02.2011])
39 www.eur-lex.europa.eu
31
Další směrnicí, která by nás měla zajímat je Nařízení 45/2001/ES, O ochraně fyzických osob v
souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu
těchto údajů. Je to nařízení Evropského parlamentu a Rady EU, které vzešlo v platnost dne
18.prosince roku 2000. Tato směrnice se zabývá hlavně zásadami kvality údajů, zásady pro legitimní
zpracování údajů, které lze zpracovávat pouze pokud:
1. Je zpracování nezbytné pro vykonání úkolu ve veřejném zájmu
2. Je zpracování nezbytné pro splnění právní povinnosti
3. Je zpracování nezbytné pro splnění smlouvy
4. Subjekt údajů jednoznačně udělil souhlas
5. Je zpracování nezbytné pro zachování životně důležitých zájmů subjektu údajů40
Dále se týká informování subjektu údajů a zvláštní kategorie zpracování. 7. oddíl popisuje důvěrnost
povahy a bezpečnost zpracování údajů. Bezpečnostní zpracování údajů se odlišuje podle toho, jak
moc velké bezpečnostní podmínky a ochranu vytvoří správce vzhledem k citlivosti údajů, které mají
být ochráněny. Důležité je zmínit, že při zpracovávání údajů automatizovanými prostředky jako je
počítač, musíme brát zřetel na mnoho faktorů, jako jsou:
1. Zastavit přístup neoprávněné osobě k citlivým informacím
2. Evidovat jaké osobě a jaké informace byly sděleny
3. Zašifrovat údaje tak, aby nebylo možné je neoprávněnou osobou číst
Veškerá opatření jsou zřízena kvůli možnosti přístupu neoprávněných osob k citlivým informacím, a
aby nebylo možné jakkoliv těchto informací zneužít.
Předposlední oddíl směrnice je 8., který popisuje vznik Inspektora ochrany údajů. Osoba, která je
pověřena institucemi k vykonávání funkce inspektora má za úkol:
1. Informovat správce a subjekty údajů o zákonných opatřeních
2. Nahlašovat evropskému inspektorovi osobních údajů incidenty a reporty z místa působení
Poslední oddíl má číslo 9 a zmiňuje ochranu osobních údajů a soukromí v rámci telekomunikačních
sítí. Orgány, instituce či Společenství se zde zavazují, že pokud nastane jakékoliv ohrožení osobních
údajů, pak se vynasnaží všemi možnými prostředky zabránit získání, či distribuování osobních dat.
Nicméně toto pravidlo je přesněji a detailněji zapsáno ve směrnici 2002/58/ES, o soukromí v
elektronických komunikacích. Díky této směrnici se sjednocují veškeré podmínky při ochraně dat
v rámci telekomunikačních technologií. Směrnice doplňuje a zpřesňuje již dříve vzniklou směrnici a to
směrnici 95/46/ES. Předmětem směrnice je zpracovávání údajů ve vztahu k jejich distribuci v rámci
společenství přes veřejné komunikační sítě. Poskytovatel musí použít dostatečné množství opatření,
aby zajistil co nejlepší a nejdůvěryhodnější zabezpečení dat pro své zákazníky.
Směrnice 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s
poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních
sítí a o změně Směrnice 2002/58/ES. Tato směrnice vzešla v platnost 15. března 2006. Předmětem
32
směrnice je zaměření na provozní a lokalizační údaje o právnických i fyzických osobách a na údaje,
které jsou potřebné k identifikaci účastníka nebo registrovaného uživatele.
Cílem Směrnice je zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání
závažných trestných činů.
Směrnice stanovuje:
1. Kategorie uchovávaných údajů
2. Povinnost uchovávat údaje
3. Způsob uchovávání údajů
4. 0pravné prostředky, odpovědnost a sankce
Směrnice 95/46/ES nadále platí pro neveřejné komunikační služby.41
Národní právní dokumenty
V rámci České republiky se stará o ochranu osobních údajů Úřad pro ochranu osobních údajů.
Důležitým zákonem, který je stavebním kamenem všech práv o mlčenlivosti apod. je zákon č.
101/2000 Sb., v platném znění o ochraně osobních údajů. Zákon se vztahuje hlavně na zpracovávání
osobních údajů, jak automatizovaným způsobem, tedy přes počítač nebo neautomatizovaným
způsobem, tedy ručně. K zákonu se rovněž i vztahuje vyhláška o předávání osobních údajů do
zahraničí, kde v § 27 zákona o ochraně osobních údajů, jsou stanoveny podmínky, kterými se musí
řídit jakékoliv transfery osobních údajů, v rámci Evropské unie, kde musí být volný přístup k transferu
osobních údajů.
Nicméně pokud hovoříme o právních dokumentech, pak musíme zmínit Občanský zákoník, respektive
nás zajímá § 11 v platném znění, jenž uzákoňuje, že každá fyzická osoba má právo na ochranu
osobnosti, zdraví, života, občanské cti a lidské důstojnosti. Pomocí internetového pirátství nás hackeři
mohou připravit o informace, které nás mohou společensky zdiskreditovat.
Dále v obchodním zákoníku je zákon č. 513/1991 Sb. v platném znění Respektive oddíl 5. § 17, kde
se hovoří o obchodním tajemství. Jako obchodní tajemství definujeme veškeré postupy návody či
informace jak materiální tak i nemateriální, které nejsou běžně dostupné k nahlédnutí. § 20 stejného
zákona hovoří o postupu v případném porušení obchodního tajemství. Postupuje se stejně, jako při
nekalé soutěži. O nekalé soutěži dále hovoří § 53, kde se uzákoňuje, že osoba, která je postižena
porušením obchodního tajemství, má právo domáhat se náhrady škody a rovněž i přiměřeného
zadostiučinění.
Zákon č. 89/1995 Sb., v platném znění o statistické službě. Při ochraně údajů nás zajímá §16, o
povinnost mlčenlivosti a ochrana důvěrných statistických údajů. Tento zákon říká, že zaměstnanci
statistického úřadu jsou vázáni mlčenlivostí. Všichni jsou povinni složit slib mlčenlivosti, který zní:
"Slibuji na svou čest a svědomí, že nezveřejním, nikomu nesdělím ani neumožním seznámit se s
důvěrnými statistickými údaji získanými pro statistické účely, se kterými se seznámím v souladu s
33
ustanoveními zákona č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů, a že
tyto údaje využiji jen pro účel, pro který byly určeny." 42
Tento zákon se ale nevztahuje na § 17 stejného zákona, o poskytování důvěrných statistických údajů.
Zde se hovoří o možnosti poskytování a výměně údajů v rámci statistických orgánů, či soudu nebo za
účelem spoluvytváření statistiky Evropského společenství.
Zákon č. 154/1994 Sb. hovoří o bezpečnostní informační službě. Ze zákona je BIS povinna chránit
údaje a to nejen osobní, ale i utajované informace.
Pokud se chceme zaměřit na bezpečnost v rámci počítače a sítí, pak je pro nás důležitý zákon
v platném znění č. 227/2000 Sb. O elektronickém podpisu. Smyslem zákona o elektronickém podpisu
je umožnit použití digitálního podpisu v rámci elektronické komunikace jako ekvivalent podpisu
vlastnoručního při běžné listinné formě komunikace. Zákon byl vytvořen na základě směrnice
Evropské unie 1999/93/EC ze dne 13. 12. 1999.43 Dále zákon hovoří o právech a povinnostech
podepisovatele a hlavně povinnosti poskytovatele certifikací. Od § 10 až do § 18 se hovoří o
povinnostech poskytovatele certifikací a pokutách v případě nedodržení pravidel daných zákonem.
Zákon v platném znění č. 499/2004 Sb., o archivnictví a spisové službě. Tento zákon uzákoňuje
povinnost uchovávat dokumenty a povinnost výběru archiválií. V zákoně se hovoří o způsobu výběru
subjektů, které mají archivovat své dokumenty a také jaké dokumenty se musí archivovat. Pro příklad
bych uvedl: justiční složky všech stupňů i druhů, dokumentace významných staveb, dokumenty
týkající se právní úpravy mezinárodních vztahů, apod.
Účetnictví se musí řídit zákony. Významný zákon je zákon v platném znění č. 563/1991 Sb., o
účetnictví, kde se dozvídáme co je předmětem účetnictví, jaké povinnosti mají účetní jednotky, pro
příklad bych uvedl pravidlo, že účetní jednotky jsou povinny zaznamenávat skutečnosti, kterých se
týká účetnictví. Dále se zákon zaměřuje na:
1. Rozsah vedení účetnictví, účetní doklady, účetní zápisy a účetní knihy
2. Účetní závěrka
3. Způsoby oceňování
4. Inventarizace majetku a závazků
5. Úschova účetních písemností44
42http://www.czso.cz/csu/redakce.nsf/i/16_povinnost_mlcenlivosti_a_ochrana_individualnich_udaju
(18.2.2011, Aktualizováno dne: 10.6. 2009)
43 http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx (18.2.2011)
44 http://business.center.cz/business/pravo/zakony/ucto/ (18.2.2011)
34
Úschova účetních písemností je důležitá kvůli možnému zpětnému doložení aktivit a transakcí. Účetní
jednotky jsou povinny uschovávat veškeré účetní záznamy, což nám přikazuje § 31 zákonu v platném
znění č. 563/1991 Sb., o účetnictví. § 31 rozlišuje 3 typy záznamů a určuje, jakou požadovanou dobu
se musí daný záznam uchovávat.
a) účetní závěrka a výroční zpráva po dobu 10 let počínajících koncem účetního období, kterého se
týkají,
b) účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh, přehledy po dobu 5
let počínajících koncem účetního období, kterého se týkají,
c) účetní záznamy, kterými účetní jednotky dokládají vedení účetnictví po dobu 5 let počínajících
koncem účetního období, kterého se týkají.45
Dle § 33 platného zákona o účetnictví se určují podmínky účetních záznamů. Záznam využívaný
v účetnictví může mít listinou, smíšenou, elektronickou, optickou, apod.
Pokud ovšem vytváříme a archivujeme dokumenty, které jsou důvěrné, pak je musíme jednou zničit.
Pravidla pro skartaci řeší vyhláška 117/1974 Sb., která stanovuje kritéria pro posuzování písemností
jako archiválií a podrobnosti skartačního řízení. Do skartačního řízení se dostávají písemnosti, které
jsou bezpředmětné pro státní orgány a společnosti. Skartace má na starost odpovědná osoba, a
pokud se skartují dokumenty, již neexistující firmy, pak má vše na starost právní nástupce nebo
organizace, která byla pověřena likvidací organizace.
Skartační lhůty jsou různé v závislosti na důležitosti dokumentu. Podle zákona č. 582/1991 Sb.,
v platném znění o organizaci a provádění sociálního zabezpečení, respektive podle § 35a, se
uzákoňuje uchovávání:
1. Stejnopisy evidenčních listů – 3 kalendářní roky po roce, ve kterém byly vyhotoveny
2. Záznamy o skutečnostech vedených v evidenci - 6 kalendářních roků
3. Mzdové listy nebo účetní záznamy potřebných pro důchodové pojištění – 30 kalendářních
let
Skartační lhůta podle zákona v platném znění číslo 235/2004 Sb., o dani z přidané hodnoty, respektive
§ 27 o uchovávání daňových dokladů říká, že plátce daní musí uchovávat veškeré daňové doklady po
dobu 10 let.
45 http://business.center.cz/business/pravo/zakony/ucto/cast6.aspx (18.2.2011)
35
11.
OCHRANA DAT V ÚČETNICTVÍ
1 Způsoby vedení účetnictví
Samotný vývoj účetních technik a postupů je dán neustálými požadavky na kvalitu, tedy na co
nejmenší chybovosti celého účetního procesu, na času potřebným ke zpracování a na nákladech
spojených s vedením účetnictví.46
Historie účetních a zaznamenávacích procesů sáhá téměř do roku 1500.
Obrázek č. 3: Vývoj účetnictví v historii
47
Obrázek popisuje vývoj účetnictví v čase a to od roku 1500 do roku 2000. Účetnictví rozdělujeme do 3
základních fází:
1. Ruční účetnictví – patří sem přepisovací a propisovací formy.
2. Mechanizace účetnictví – zde jsou stroje na děrné štítky.
46 (L. Mejzlík, 2006 str.16)
47 (L. Mejzlík, 2006 str.16)
36
3. Automatizace účetnictví – poslední období, které je charakterizováno účetnictvím vedeným
na počítači a elektronickým účetním dokladem.
Přepisovací – zde se jen ručně přepisovaly operace z účetního deníku do hlavní účetní knihy.
Propisovací – knihopisy do účetního deníku a hlavní knihy se prováděly současně.
Mechanizace – používaly se děrné stroje. Na příklad bych uvedl stroj ASCOTA.
Automatizace – využívá se počítačový program, ve kterém je již přesně nadefinován sled účetních
operací.
Průkaznost účetních vnitřních procesů byla vždy dána existencí účetního dokladu s jeho povinnými
náležitostmi. Dnes se příliš nekontroluje faktická chybovost účetních transakcí, ale díky automatizaci
se kontrola zaměřuje na bezpečnost, spolehlivost a důvěryhodnost algoritmů, které jsou požity
v účetním systému. Díky automatizaci není mnohdy potřeba ani zásah člověka. Automatizovaný
proces může být do takové míry, že od samotného vydání el. dokladu se automaticky přesune
k dodavateli a tam se následně znovu automaticky zaúčtuje. Celá operace nepotřebuje lidský zásah a
účetní pak jen zkontroluje výsledek. Veškerá správnost účtovacích procesů je pak dána správností
algoritmů, které jsou k tomu využívány. Na příklad pokud účetní software získá informace o produktu
či transakci pomocí jistého technického zařízení jako jsou čtečky čárových kódů, fotobuňky či
automatické váhy.
Elektronický účetní doklad je ve své podstatě obyčejný účetní doklad, který není ve psané podobě.
Tento účetní doklad má veškeré detaily i náležitosti jako klasický psaný účetní doklad. Zákon č.
227/2000 Sb. o elektronickém podpisu říká, že elektronický účetní doklad je z právního hlediska roven
s psaným účetním dokladem. Nicméně je důležité opatřit elektronický účetní doklad elektronickým
podpisem, o kterém jsem hovořil na straně 24, kapitola o Elektronickém podpisu. Elektronický účetní
doklad má mnoho kladů jako je rychlost doručení nebo rychlost zaúčtování. Dále jsou vynaložené
mnohem menší náklady, než na psané účetní doklady a v neposlední řadě je to ekologičtější řešení.
Problémem je, že většina firem dnes používá oba typy, což by v budoucnosti mělo být značně
omezené. Díky používání obou typů dokladů dochází k povinnosti vedení duálního systému archivace.
Tento způsob vede k většímu nákladovému zatížení společnosti a zvýšení složitosti operací.
Z důvodu, že zaměstnanci předem neví, v jaké formě je účetní doklad vystaven. Případné hledání
účetního dokladu by bylo časově náročné. Výhodou je také převoditelnost z psaného účetního
dokladu na elektronický účetní doklad. Naopak to nelze, protože by se znehodnotil elektronický
podpis. Společnosti tedy mohou veškeré věci skenovat a ukládat do systému.
2 Audit
Audit se díky zautomatizovaným procesům v účetnictví změnil. Dnes se již nezaměřuje na věcnou
správnost účetních operací. Auditoři se spíše zaměřují na zjištění hodnot, které se vyskytují ve všech
úrovních účetních operací a jejich následném zhodnocení. Celý nápad je založen na faktu, že pokud
je vše zautomatizované a veškeré použité algoritmy mají správnou funkci a jsou bezchybné, pak
37
výsledek operací musí být korektní. Vedle statutárního auditu účetní závěrky se mnohé auditorské
společnosti zaměřují i na tzv. ICT audit. Jedná-li se o ICT audit prováděný auditorskou společností,
resp. auditory uvedenými na Seznamu auditorů vedeném Komorou auditorů České republiky, musí při
ICT auditu být dodrženy obecné požadavky na provádění auditu a profesní předpisy. Neauditorské
společnosti, které nezískaly potřebnou akreditaci, poskytující služby se stejným označením (tj. ve
smyslu ICT auditu) tyto předpisy dodržovat nemusí. Proto by klienti měli vždycky věnovat náležitou
pozornost výběru společnosti, která jim provádí ICT audit.
V případě statutárního auditu může auditor postupovat buď klasickou metodou, anebo může využít
právě znalosti algoritmizace účetní práce. Klasická metoda auditu se též označuje jako metoda „okolo
počítače“. Kontrola touto metodou spočívá v tom, že auditor nebere ohled na zautomatizované
procesy a zajímají ho vstupy, jako jsou účetní doklady a samozřejmě výstupy, kam patří účetní
závěrka. Nevýhoda metody „okolo počítače“ je fakt, že se dá realizovat jen v malých společnostech,
kde vstupů není mnoho. Pokud je auditor ve větší společnosti nezbývá mu nic jiného než kontrolovat
správnost algoritmů.48
3 Výběr účetního software
Softwarové požadavky firem se neustále mění a každá firma má jiné potřeby. Pokud firma nedokáže
své potřeby správně identifikovat a díky tomu vybere špatný software, pak následky mohou být
nedozírné a to hlavně z ekonomického pohledu. Odstranění takových to následků může být mnohdy
dražší než samotné pořízení programu. Problémy ovšem nemusí vzniknout jen kvůli neznalosti
zaměstnanců ve firmě, ale také díky špatné implementaci systému. Dopad může být stejný.
Jeden z požadavků systému je udržení tzv. vnitřních vazeb. Ty jsou vytvořeny mezi jednotlivými účty
nebo mezi účetními doklady a hlavní knihou a podobně. Při bezproblémovém fungování systému se
vnitřní vazby snadno udržují, ale při případné havárii systému je potřeba, aby se vazby zachovaly.
Pokud by se tomu tak nestalo, firma by musela vazby znovu nastavovat, či kompletně opakovat
operace, které nebyly dostatečně zálohovány. Pokud systém udrží vnitřní vazby, pak se tento vztah
nazývá transakční zpracování.
Dalším požadavkem je ochrana proti neautorizovanému přístupu. Dnes je každý účetní software
opatřen přihlašovacím jménem a heslem, chipovou kartou. Počet požadovaných znaků a čísel v obou
údajích se různí program od programu. Dříve byla i statická hesla, ale dnes je povinnost měnit hesla
pravidelně. Většinou se udává jednou za 30 dní. Díky dokonalejšímu účetnímu softwaru se útočník
nemůže bez hesla dostat k datům. Dříve tomu tak nebylo. Možná se tento problém vyskytuje u méně
sofistikovaných programů. Problémem je fakt, že útočník nemusel vniknout do softwaru samotného.
Pokud se dostane k počítači uživatele, pak nalezne veškerá data uložená na pevných discích. Tato
účetní data se ukládala ve formátu DBF s koncovkou .ap a dala se bez větších problémů přečíst
v dostupných programech jako je MS Excel.
48 (L. Mejzlík, Oeconomica 2006)
38
Softwarové společnosti, které vyvíjejí účetní systémy, stvrzují jeho funkčnost přizvaným auditorem.
Ten zkontroluje funkčnost algoritmů a tím společnost získá jistotu, že program je bezchybný.
Nelze předejít výpadkům systémů, proto bychom měli zabezpečit data tak, aby při výpadku nevznikly
velké prodlevy v práci. Velké prodlevy znamenají pro firmu ekonomickou ztrátu. Proto by společnost
měla vést paralelně na sobě 2 informační systémy nebo vlastnit 2. systém, na kterém by se rozbalila
záloha v případě havárie prvního. Pokud tedy jeden systém vypadne, mohou zaměstnanci plynule
přejít na druhý a tím nevzniknou žádné prodlevy. Na příklad lze vytvořit tzv. zrcadlení pevných disků,
což má za následek efektivnější zálohování dat.49
Jak již bylo řečeno, při výběru účetního softwaru musí společnost brát ohled na mnoho kritérií. Tomuto
rozhodnutí se pak říká multikriteriální. Společnosti se rozhodují na základě:
1. Obsahového kritéria – jestli daný program je schopen efektivně fungovat ve společnosti.
2. Systémového/technického kritéria – je zde definováno zabezpečení dat a případný servis
systému.
3. Obchodního kritéria – rozhodují se na základě efektivnosti, ceny a záruk funkčnosti
účetního systému.50
Obecně pokud společnost chce využívat účetní software, pak si musí předem stanovit: Rozdělení
jednotlivých přístupů, případně kam tyto přístupy povolí vstup. O tuto část se stará hlavně
administrátor, neboli technici, kteří mají za úkol rozdělovat přístupy, kontrolovat správnost přístupů a
ochraňovat data.
Pokud firma zadala přístupy, pak si musí rozhodnout, kam bude pouze možnost náhledu nebo i přímé
zadávání. Jestliže firma bude vyžadovat přímé zadávání, pak musí vytvořit v programu:
1. Modul, oblast – neboli kam se bude zadávat
2. Typy transakcí – vyjadřují, co se bude zadávat, případně jaké údaje se budou modifikovat
Společnost má 3 základní náhledy pro software:
1. Obchodní náhled – obsahuje obchodní databázi, informace o zákaznících, nabídky,
informace o uzavřených obchodech, apod.
2. Admin. Procesní náhled – náhledy – logistika, účtárna, objednávky
- zadávání – ceníky, zboží
3. Technický náhled – zřizování a rušení přístupů, kontrola dodržování principů, ochrana dat
39
40
12.
PRAKTICKÁ ČÁST
Bezpečnost a ochrana dat je prioritou každé firmy, pokud chce být důvěryhodná a nechce být
snadným terčem pro konkurenci, případně pro vlastní zaměstnance.
Vybral jsem dvě odlišné firmy, které mají světový věhlas a mají své zástupce i v České republice.
První firmou je Alcatel – Lucent Czech, s.r.o., která se zabývá hlavně telekomunikačními
technologiemi a druhou firmou je ČSOB Leasing s.r.o., což je bankovní institut, který spravuje hlavně
leasingové operace. Již kvůli zaměření se předpokládá, že oba subjekty mají vysokou míru
bezpečnosti svých dat a to kvůli sobě, zákazníkům, tak i konkurenci. Obě firmy mají svou mateřskou
firmu v zahraničí, proto bylo zajímavé, jak moc spadají pod mateřskou firmu vedením i ochranou dat a
jestli si mohou bezpečnostní oblast zajišťovat sami.
1 ČSOB Leasing a.s.
Jako první firmu bych popsal bankovní instituci ČSOB Leasing a.s.
Finanční skupina ČSOB byla založena v roce 1994. Původně se jmenovala Chmelařská vzájemná
pojišťovna. Vstup na trh pojišťovnictví se datuje rokem 1996. Hlavním zaměřením pojišťovny byl
zemědělský sektor. V roce 2000 pojišťovna získala další možnosti v pojišťování a začala se zaměřovat
i na oblast povinného ručení.
Obrat ve firmě byl zaznamenán vstupem silného partnera KBC Insurance N. V., která se stala
částečným majitelem v roce 1998 a absolutním vlastníkem se stala o 3 roky později, tedy v roce 2001.
Dnes je ČSOB začleněna do velké pojišťovací skupiny a dostala tak důvěryhodnost v celé Evropské
unii.
ČSOB holding obsahuje 11 firem: ČSOB Factoring a.s., ČSOB Penzijní fond Stabilita, a. s., ČSOB
Leasing, a.s., ČSOB Pojišťovna, a. s., ČSOB Penzijní fond Progres a. s., ČSOB Asset Management,
a.s., ČSOB Investiční společnost, a.s., ČSOB Investment Banking Services, a.s., ČSOB Property
fund, uzavřený investiční fond, a.s., ČSOB Pojišťovací servis, s.r.o., ČSOB Leasing pojišťovací
makléř, s.r.o.51
ČSOB Leasing a.s. sídlí v Praze v ulici Na Pankráci 310/60 140 00 Praha 4. Pojišťovna je zastoupena
i v dalších městech v celé České republice, konkrétně v Brně, Jihlavě, Hradci Králové, Olomouci,
Karlových Varech, Ostravě, Pardubicích, České Třebové, Plzni a také v Teplicích. Vidím, že budu
popisovat velký pojišťovací subjekt na českém trhu.52
51 http://www.csobpoj.cz/spolecnost/
52 http://www.csobleasing.cz/cz/kontakty/pobockova-sit
41
Softwarový systém firmy ČSOB Leasing a.s. je, ostatně jako u většiny bankovních a pojišťovacích
firem, vytvářen na míru firmy tak, aby nejlépe vyhovoval jejím potřebám a požadavkům. Firma se
snaží o centralizaci dat, tedy umístění všech dat na jedno místo. Celá IT bezpečnost začala směřovat
k tomuto kroku, protože je mnohem jednodušší zaměřit se na jedno místo, kde můžeme umístit
nejsilnější ochranu, než složitě zabezpečovat desítky umístění dat a vyhodnocovat případná
nebezpečí. Nevýhodou této strategie umístění je fakt, že pokud se bezpečnost prolomí, pak jsou
v ohrožení všechna data.
Servery jsou dnes umístěny v centrále v Praze v České republice, ale v budoucnu se uvažuje o jejím
přestěhování do jiné země Evropské unie, do Maďarska.
Dříve měla ČSOB Leasing a.s. vlastní IT team, který jí zabezpečoval celý systém a vyvíjel různé další
komponenty. Dnes se firma rozhodla outsourcovat veškeré IT. Nicméně celý dřívější IT team přešel do
dceřiné společnosti v rámci KBC. Outsourcing IT ČSOB umožnil více se orientovat na vlastní
obchodní činnosti, díky zajištění IT provozu a vývoje stejnou nebo vyšší kvalitou dodávaného
specializovanou firmou (dcerou skupiny), která je orientovaná na IT služby v rámci skupiny. Veškerá
spolupráce je posvěcena servisní smlouvou. Smlouva zabezpečuje mlčenlivost a dodávku služeb
v požadované kvalitě všech zúčastněných entit.
IT systém firmy obsahuje 7 subsystémů, které se rovněž vyvíjejí na míru a patří mezi ně např.
likvidace pojistných událostí. Firma používá i programy, které jsou mezinárodně využívané jako je
SAP. Ten používají hlavně k workflow, objednávkám a ne jako účetní systém. Kvůli bezpečnosti a
programovým spojením není možné, aby SAP s účetním systémem jakkoliv spolupracoval. Celkové
schéma bezpečnostního systému je vytvořeno tak, aby nejpotřebnější systémy a data byly odpojeny
od internetu a díky tomu se naprosto minimalizovala možná bezpečnostní interakce z vnějšího
prostředí.
Obrázek č. 4: Oddělení interních aplikací od vnějška
42
Obrázek nám znázorňuje, jakým způsobem oddělila firma ČSOB leasing a.s. internetové rozhraní od
ostatních systému v rámci společnosti.
INIS a AOLS jsou systémy kompletně oddělené on internetu. INIS je účetní systém a AOLS se
používá k obchodování. HELIOS GREEN je systém, který firmě zajišťuje přehled o majetku.
Přístup z vnějšího prostředí je zabezpečen množstvím firewallů, které ochraňují software a aplikace
provozované na centrále ČSOB Leasing a.s..
Zaměstnanci se samozřejmě mohou dostat ke svým datům přes Internet zabezpečená pomocí
Tokenu. Proto musela ČSOB Leasing a.s. zajistit větší bezpečnost a to pomocí ochrany vzdáleného
přístupu programem CITRIX. Program funguje jako bariéra mezi internetovým vnějškem a daty
umístěnými na serveru. Jeden server funguje zhruba pro 20-30 počítačů. Systém využívá cca 150
uživatelů.
Obrázek č. 5: Oddělení interních databází od vnějšího prostředí
43
Obrázek nám znázorňuje, jak jsou jednotlivé aplikace chráněny při vstupu z vnějšího prostředí. Díky
programu CITRIX jsou aplikace uvnitř chráněny před nepovoleným přístupem.
Dalším velmi účinným zabezpečením je zašifrovanost samotné aplikace. Princip zašifrování spočívá
v nemožnosti jakéhokoliv stahování dat. Jediná možná činnost je změna dat v systému nebo pouze
nahlédnutí.
Vzdálený přístup je ovšem velmi zabezpečený. Aby se zaměstnanec mohl připojit na svůj účet, tak
musí mít zapojený Token ve svém PC. Token obsahuje časový kód, který je generován po přesně
daných minutách. Vnější zabezpečení jsou dvouúrovňová: 1. úroveň je časový kód a 2. úroveň se
skládá z ID a Password.
ID má každý zaměstnanec své a zná ho jen on. Hesla musí být silná. Minimálně obsahují 8 znaků,
které jsou tvořeny velkými a malými písmeny, čísly a znaky. Hesla se nesmí opakovat a musí se měnit
vždy jednou za 35 dní. Hesla se rovněž nesmí sdělovat dalším osobám a musí se udržovat v tajnosti,
tedy nesmí být nikde napsána. Některé systémy jsou unifikovány do té míry, že si stačí pamatovat
hlavní heslo a díky němu se zaměstnanec automaticky připojí i na další systémy.
Zaměstnanci firmy musí dodržovat interní firemní směrnice, které zakazují veškeré operace, jež
mohou ohrozit data umístěná v systému. Směrnice jsou určené pouze pro zaměstnance a bohužel se
mi nepodařil k nim získat přístup. Základním fyzickým zabezpečovacím prvkem je, že každý
zaměstnanec vlastní svou osobní čipovou kartu, díky které se může pohybovat po budově. Jednotlivé
sekce jsou odděleny dveřmi, které jsou právě na tento čip, tak jako výtah. Firemní sekce jsou
uspořádány v openspace. Zde vyvstává nové nebezpečí, o které se rovněž postarala čipová karta.
Veřejné tiskárny jsou po celé firmě a kvůli bezpečnostnímu riziku není přijatelné, aby někdo jiný ze
zaměstnanců viděl případně tajné dokumenty nebo strategické záměry firmy. Každá tiskárna je na čip.
Celý tento systém funguje tak, že zaměstnanec si vybere, co chce tisknout a na jaké tiskárně má tisk
proběhnout. Tiskárna nezačne pracovat do té doby, až přijde onen zaměstnanec a přiloží čipovou
kartu k tiskárně. Zadaný tisk může být v databázi tiskárny až několik dnů.
Další bezpečnostní opatření zavedla firma v možnostech připojení vlastních notebooků nebo flash
disků. Není dovoleno, aby kdokoliv připojil vlastní notebook do sítě. Celé nařízení je chráněno hesly
k síti a bez souhlasu administrátorů se nelze připojit. Používání flash disků je rovněž zakázáno.
Jediným způsobem, jak získat informace na flash disk je přes své nadřízené. Nicméně, i když
zaměstnanec dostane povolení k připojení flash disku, pak i tak musí být tento flash disk firemní a
velmi přísně se eviduje kolik, jaké informace a kdy byly přesunuty.
44
Tímto se dostáváme k PC a interní ochraně dat. Firma účinně blokuje stránky na internetu, které
nesouvisí s pracovním zaměřením jako na příklad vtipy apod., ve snaze, aby pracovníci nebyli
rozptylováni, a rovněž je zakázáno, až na výjimky, veškeré stahování z internetu. Součástí výhod
spojených se zaměstnáním v ČSOB leasing a.s., nabízí společnost, možnost „surfování“ na internetu.
Omezení se odblokují od 17:00 každý den a o víkendech je internet kompletně volný, ale stále
monitorovaný. Žádný zaměstnanec nemůže instalovat jakékoliv programy na svůj profil, bez souhlasu
odpovědné osoby. Stejně tak je každý počítač sledován a veškeré informace se ukládají a archivují
tak, aby kdykoliv bylo možno dohledat, jestli zaměstnanec nedělal na PC něco, co není dovolené.
Každý zaměstnanec má přesně určená práva a přístupy v rámci systému. Manažeři využívají šablony,
které jsou předem navrženy tak, aby zaměstnanec na dané pozici měl rovnou všechna práva
nadefinována, a tím se velmi zkrátí organizační čas při nástupu nového pracovníka do firmy a tak
může hned, prakticky následující den, začít naplno pracovat. Díky šablonám se také sníží náklady a
ušetří se čas IT pracovníkům. V rámci organizační struktury firmy se vyčleňují tzv. guestoři. Tito lidé
zodpovídají za přístupová práva a mohou případně povolovat, či odebírat práva. Zaměstnanec si
může přes intranet požádat o jakoukoliv pravomoc, kterou později zváží guestor. Pokud se jedná o
závažné změny, které by mohly ohrozit zabezpečení firmy, pak musí obdržet guestor vyjádření od
generálního ředitele. Tímto vyjádřením může buď schválit, nebo neschválit přístup do aplikace.
Guestorem je rovněž i jeden ze členů představenstva, který jediný může odsouhlasit přístupy na
nejcitlivější informace, které se týkají plateb, či detailních informací o zákaznících.
Kontroly se neskládají jen z pozorování záznamů o činnosti zaměstnanců, ale také se kontrolují
samotná přístupová práva. V rámci přístupových pravidel se nesmí dělat chyby, protože by to mohlo
závažně poškodit firmu. Kontrola je vícestupňová.
1. Náhodná kontrola – kterou dělají firemní IT odborníci a také guestor sám.
2. 2x ročně audit – kontrola veškerých postupů v systému
3. 1x ročně audit od externí IT společnosti
V rámci účetnictví je bezpečnost díky programům a opatřením na vysoké úrovni. Kontrolním orgánem
účetních operací je team controllingu. Systém samotný nedává příliš prostor k možné chybě, pokud ji
člověk neudělá záměrně. Předpokládá se, že zhruba 91% operací, se kterými se účetní setká, nelze
obejít, protože systém samotný přesně nadefinuje, kam má účetní zapsat jakou položku. Díky
podvojnému účetnictví je kontrola automatická. Pokud se účetní „upíše“ a dá na jeden účet jinou
částku než na druhý, pak ji automatická kontrola v systému včas upozorní. Účetní zde provádí tzv.
globální kontrolu, tedy kontroluje objem peněz, které přijdou do firmy a jestli odpovídají množství
peněz v účetním systému INIS. Systém sám včas upozorní na případné nesrovnalosti a kompletně
zablokuje účtování. Dalším krokem eliminujícím riziko, který zabezpečuje tyto transakce je, že účetní
nesmí, resp. nemůže zadat příkaz k úhradě. Veškeré operace jsou kontrolovány finančním ředitelem
pomocí různých sumarizačních dat. Mzdy jsou tajné a jediní, kdo s nimi přijdou do styku, jsou mzdová
účetní a generální ředitel a člen představenstva firmy. On nebo generální ředitel, toto vydání musí
podepsat.
Veškeré transakce ve firmě ČSOB Leasing a.s. jsou přísně kontrolované. Proto každá transakce musí
projít přes kontrolu minimálně tzv. čtyř očí. V praxi to vypadá následovně:
45
Pro transakce 4 očí –
1. Návrh
2. Kontrola
3. Podpis
Princip spočívá v tom, že nejdříve je podán návrh panem X. Tento návrh je zkontrolován paní Y a
podepsán jedním z nich. To záleží na situaci a druhu dokumentu.
Pro transakce 6 očí –
1. Návrh
2. Kontrola
3. Představenstvo
4. Podpis
Stejný princip jako výše. Pan X podá návrh, pak paní Y zkontroluje návrh a dokument putuje k členům
představenstva, kde je dokument rovněž zkontrolován. Podepsán je poté navrhovatelem nebo jiným
zaměstnancem viz. podpisový řád. Kontrola transakcí pomocí metody 6 očí se používá jen při
důležitých dokumentech, jako jsou půjčky apod.
Tyto kontroly se nakonec završují podpisem. Celá struktura je rozdělena podle písmen, kdy:
A = Členové dozorčí rady
B = Představenstvo – které pro příklad schvaluje nájemní smlouvy apod.
C = Výkonný ředitel a generální ředitel
D = Výkonný ředitel
E, F, G, H, PPR = to jsou individuální kompetence zaměstnanců ČSOB Leasing a.s…
Celá tato struktura je znázorněna sestupně, tedy nejvyšší kompetence pro podpis má skupina A, tedy
dozorčí rada. Podpisový řád nekončí jen u prostého rozlišení kompetencí, ale rovnou rozlišuje i kdo
bude moci př. parafovat.
Znovu vzory rozdělují na:
1 = zaměstnancům, kteří mají tuto úroveň, mohou rozhodovat
2 = tito zaměstnanci mohou podepisovat
3 = zaměstnanci, kteří mohou parafovat
Tabulka č. 5: Příklad podpisového vzoru
Posílání daní
Osoby
Osoba
Pan X
Paní Y
Pan P
Paní Z
Pan W
Paní T
A
B
C
D
E
F
G
H
1,3
V tomto příkladů má Paní Z jak navrhující pravomoc, tak podpisovou. Nicméně je zde stále pravidlo
minima 4 očí, tudíž musí být dokument další osobou zkontrolován, jinak by nebyl platný.
V podpisovém řádu jsou zaznamenány i kompetence Risk managementu, který se zabývá mimo jiné i
schvalováním bonity zákazníka. Risk management je rozdělen do 3 úrovní. RM1, RM2, RM3.
46
PPR
Rozdělení je podle důležitosti zakázky. Přičemž schvalování samotné je nejpřísnější v RM1, kde
neexistuje právo veta a tedy aby byl uznán zákazník, jako dostatečně solventní, pak musí souhlasit
všichni. Pokud alespoň jeden nesouhlasí, pak se celý návrh zamítá.
Při čerpání provozních úvěrů do 50 miliónů pak stačí souhlas generálního ředitele, ale tehdy pokud
provozní úvěr přesáhne 50 miliónů, vkládá se do rozhodování představenstvo a právě ono se musí
rozhodnout. Pak se dostane požadavek na nižší stupně organizace. Takto důležité a rizikové operace
jsou kontrolovány tzv. šesti očima. To znamená, že minimálně další 2 odpovědní zaměstnanci musí
celý návrh zkontrolovat (počítá se sem jednak částka samotná, ale i účty na které částka přijde) a až
po té je návrh realizován.
Veškerá pravidla a vnitřní směrnice firmy, jež jsem zde zmínil, se musí bez výjimky dodržovat. Pokud
se tak nestane, pak je zaměstnanec za tento skutek, který způsobil, předvolán před disciplinární
komisi, kde se rozhoduje o závažnosti přestupku a případném ohrožení firmy. Pokud se rozhodne
firma zaměstnance trestat, pak se postupuje podle platného zákoníku práce.
Nyní bych chtěl zmínit fyzickou ochranu dat ve firmě ČSOB Leasing a.s.
Firma rozděluje archivnictví na 2 úrovně.
1. Vnější – outsourcing
2. Vnitřní
Vnitřní archivace je nutná kvůli zachování důležitých dokumentů ve firmě pro případ kontroly
finančního úřadu. Vnitřní archivaci provádí pověřený pracovník. Uchovávají zde například: Faktury,
mzdové listy, zákaznické smlouvy, apod. Takto interně uchovávají listy 3 roky. Firma vyprodukuje
ročně cca 200 – 250 tisíc dokladů, proto si také nemůže dovolit uchovávat u sebe doklady déle než 3
roky.
Po třech letech se dokumenty převáží do externí firmy, která se rovněž stará o případné skartace.
Lhůty na skartace se různí podle dat na zákaznických smlouvách a podle zákona v platném znění
499/2004 sb. o archivnictví a spisové službě, ale průměrná lhůta je 10 let.
Externí firma nemůže nic skartovat bez výslovného souhlasu odpovědného zaměstnance z firmy
ČSOB Leasing a.s.
Existuje zde i elektronická archivace, kam se skenují veškeré dokumenty, které jsou později
převáženy. Díky tomu je možnost kdykoliv se podívat do zákaznických smluv, či faktur.
Elektronická archivace je zřízena také speciálně pro účetní transakce. V budoucnu firma uvažuje o
zřízení dvouúrovňové elektronické dokumentace.
1. Živá – průměrná délka stáří dokumentů do 10 let
2. Mrtvá - průměrná délka stáří dokumentů od 10 let
2 Alcatel-Lucent Czech, s.r.o.
Druhá společnost, jejíž jsem se rozhodl popisovat její bezpečnostní politiku a vnitřní procesy je
společnost Alcatel-Lucent, Czech s.r.o. Nejdříve bych chtěl představit vznik této mezinárodní firmy.
Společnost Alcatel-Lucent a.s. pochází ze 2 kontinentů. Jednak z francouzské firmy La Compagnie
Générale d'Electricité (CGE) a z americké společnosti Western Electric Manufacturing Company.
47
Založení jednotlivých společností se datuje již od 19. století. Western Electric Manufacturing Company
byla založena roku 1869 v Clevelandu. Později bylo firemní výrobní zařízení přestěhováno do Chicaga
a v roce 1880 se stává největším výrobcem elektrických zařízení v USA. V roce 1881 odkoupila
Western Electric Manufacturing Company společnost založená Alexandrem Grahamem Bellem, která
se jmenovala American Bell Telephone Company.
Francouzská společnost La Compagnie Générale d'Electricité (CGE) byla založena roku 1898. Brzy
po svém vzniku se stala konkurencí pro velké firmy, jako jsou: AEG, Siemens a General Electric, apod.
CGE, jako francouzská firma, se angažovala hlavně ve výrobě dopravních prostředků, elektřiny,
elektroniky a komunikačních technologií. Společnost CGE vyráběla do dnes používané francouzské
vlaky TGV (Train a grande vittesse).
V roce 1925 se firma Western Electric Manufacturing Company spojila s AT&T a vzniklo tímto
spojením výzkumné a vývojové centrum Bell Labs. Z laboratorií centra Bell Labs vzešly mnohé
vynálezy jako je tranzitor, laser, solární baterie, buňkové sítě pro telekomunikační technologii, apod.
Rovněž je držitelem 11 Nobelových cen. CGE se stává firmou Alcatel Alsthom v polovině 80. let 20.
století díky nákupu telekomunikační divize ITT.
Od roku 1998 se Alcatel Alsthom soustředí výhradně na telekomunikační průmysl a součastně si
změnil i jméno na Alcatel a.s. Společnost se začala zaměřovat na trh v USA, kde odkoupila na
přelomu 20. a 21. století několik firem: DSC (1998), Newbridge a Genesys (2000), Astral Point
Communications (2002) a Spatial Communications (2005).
Alcatelu se povedl i průlom na čínský trh, kde v roce 2002 založil svou pobočku Alcatel Shanghai Bell
(ASB) a získala tím velmi dobré postavení na čínském, potažmo asijském trhu.
Pro získání silnějšího postavení i v rámci Evropy a zbytku světa ohlásila v roce 2006 firma Alcatel a
Lucent plán spojení. 30. listopadu roku 2006 vznikl celosvětový poskytovatel telekomunikačních
služeb s názvem Alcatel-Lucent a.s.
Dnes se firma Acatel-Lucent zabývá přenosovými sítěmi Ethernet, IP/MPLS, ATM, dále optickými
připojeními, podmořskými systémy, telekomunikačními technologiemi a rovněž i spolupracují na
projektu Galileo.53
Dobrá software podpora je jedním z faktorů úspěšné firmy. Proto i společnost Alcatel-Lucent Czech,
s.r.o. využívá mnoho typů softwarů a to jak komerční, tak i zakázkové software. První software, který
bych chtěl zmínit je velmi rozšířený a celosvětově známý SAP. Základním softwarem v informačním
systému společnosti je SAP, který je přizpůsobený potřebám firmy. V rámci korporace se nazývá Blue
Planet. Používá se na veškeré účetní, logistické a projektové operace. S Blue planet spolupracuje
aplikace MARS, která se používá pro tvorbu interních nákupních požadavků.
53http://www.alcatel-lucent.com/wps/portal/!
ut/p/kcxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLd4w3sfQGSYGYRq6m-pEoYgbxjgiRIH1vfVP_NxU_QD9gtzQiHJHR0UAIZNI3w!!/delta/base64xml/L3dJdyEvd0ZNQUFzQUMvNElVRS82X0FfNU
xJ (21.2.2011)
48
Dále Alcatel-Lucent Czech, s.r.o. využívá software Scala. V tomto softwaru jsou aktivní 3 základní
moduly.
1. Modul Skladového hospodářství – stará se o evidenci dílů na servisních a pohotovostních
skladech.
2. Servisní modul – zabývá se evidencí fyzického pohybu dílů určených k opravě, jak vlastních
dílů, tak i zákaznických dílů. Veškeré servisní operace jsou pouze v rámci záručních dob nebo
servisních smluv.
3. Modul majetku – používá se ve spojení se softwarem pro evidenci čárových kódů pro
fyzickou a účetní inventuru majetku.
Program Alcamis je vytvořen speciálně pro potřeby společnosti a pracuje na platformě SQL MSIS.
Alcamis je program, který využívá projektový controlling, kde se evidují veškeré detailní informace o
zákaznických projektech a jejich zdrojových aspektech.
Společnost také využívá software Orion, jenž je využíván obchodníky i controllery. Je to databáze, kde
se evidují veškeré informace o probíhajících soutěžích, zákaznících, realizovaných projektech a
uzavřených objednávkách.
Navazující aplikací je intranetová databáze zaměstnanců, která se nazývá X500.
Software My HR využívá personální oddělení a je to unifikovaný software pro celou korporaci AlcatelLucent a.s. My HR uchovává veškeré informace o zaměstnancích a udržuje spolupráci s databází
zaměstnanců X500.
V rámci transformace společnosti do velké korporace se veškerá data centralizují. Ruší se veškeré
File servery a data se přenášejí na servery, které jsou umístěny ve městě Sundance ve Francii.
Lokální jednotky korporace si mohou a také ponechávají 2 druhy serverů.
1. The second dominn controller – využívá se pro funkci uživatelů v doméně. Uživatel se tedy
přihlašuje a je mu přiřazen security profil, dle kterého se řídí veškeré přístupy a práva jednotlivých
uživatelů.
2. Repository SCCM úložiště instalací – společnost server používá pro automatickou distribuci
softwaru. Pro uživatele to má jednu velkou výhodu, a to značné zvýšení přenosové rychlosti a
zrychlení instalace. Primární server je sice umístěn, stejně jako file servery, v Sundance ve Francii, ale
pokud společnost vlastní sekundární server na své pobočce, pak se veškeré transfery probíhají
mnohem rychleji.
Pokud hovoříme o IT zázemí společnosti Alcatel-Lucent Czech, s.r.o., pak musím zmínit, že celá
společnost má smluvní partnery v rámci korporace. Dříve se staral o IT support dceřiná společnost
Alcanet, dnes veškeré IT operace a služby zajišťuje společnost Hewlett-Packard (HP). Způsob
poskytování služeb je následující: uživatel má problém s aplikací. Problém může vyřešit 2 způsoby:
1. Zatelefonuje pomocí čísla 2222 na centrální IT helpdesk v Paříži.
2. Uživatel se připojí na intranet, kde se naloguje do speciálního oddělení aplikace IT-shopu.
Vyplní požadavek a odešle. Požadavek obdrží specializovaný IT helpdesku, problém vyřeší, případně
kontaktuje uživatele o doplňující informace. Vyřešení ohlášeného problému – incidentu si obě strany It
49
reguestem potvrdí. Součástí requestu je i hodnocení uživatele, jak byl spokojen s odstranění
problému, s délkou trvání, s úrovní komunikace apod.
Centrální zabezpečení všech systémů proti vpádu z vnějšku je velmi efektivní. Koncový uživatel může
do systému jen nahlížet a nemá právo data měnit. Veškerá komunikace se odehrává přes http proxy,
takže pokud uživatel není v systému registrován, nemůže se přihlásit do systému. Firma nepodcenila
ani firewall ochranu a vytvořila na své síti i demilitarizovanou zónu. Je vytvořena tak, že chrání síť jako
celek firewally, ale i jednotlivé počítače připojené k síti. Touto metodou se „dvojmo“ chrání před
případným útokem.
Přístup přes internet nebo z nezabezpečených míst je také ochráněn, jelikož z internetu je největší
pravděpodobnost útoku. Společnost rozděluje jednotlivé uživatele do 2 skupin:
1. Zákazník a nezaměstnanec – mají velmi omezené pravomoci a přístupy. Mohou se
pohybovat pouze v rámci oficiálních stránek a případně se u zákazníků vytvářejí speciální účty.
Nicméně se ani s těmito účty zákazník nedostane do interní sítě firmy.
2. Zaměstnanci – využívají tokeny. Díky tokenu se vytvoří VPN tunel a zaměstnanec se tak
dostane do sítě stejně, jako by se připojil z počítače v kanceláři. Druhý způsob je přes Outlook web
access, který je také chráněn tokenem a uživatel se dostane do webové verze svého e-mailu. Díky
tomu může vidět příchozí emaily a případně na ně i odpovídat.
Politika hesel je dána korporátními pravidly. Musí být co nejpřísnější, aby se co nejvíce snížila
možnost zneužití hesla. Platnost každého hesla je 90 dní, poté jej musí zaměstnanec změnit. Z
důvodu bezpečnosti musí mít hesla charakter silných hesel, tedy 9 a více znaků. Pro zhoršení
dekódování musí každé heslo obsahovat typy 3 znaků, tedy pro příklad: Beruška112%. Systém si
udržuje v paměti posledních 20 hesel a tato hesla se nesmí opakovat. Je to kvůli tendencím
zaměstnancům si všude dávat stejná hesla nebo je neustále opakovat. Zvláštním typem hesla je heslo
získané z tokenu. Toto heslo je jednorázové. Uživatel musí znovu zažádat pomocí kalkulačky na
tokenu. Korporace vytvořila webovou aplikaci, pro zefektivnění a zjednodušení přihlašování do
různých aplikací v rámci firmy, která synchronizuje veškerá hesla tzv.: SOSPASSWORD, kde jsou
veškerá hesla sjednocená tvarem, tak i dobou expirace. Výjimkou je software SAP, kde musí být heslo
oddělené od ostatních aplikací firmy. SAP heslo má stejné podmínky jako hesla předchozí, tedy
expirace 90 dní a silné heslo.
Při prvním přihlašováním do systémů a zvolení hesel, je zaměstnanci položeno 5 kontrolních otázek.
Odpovědi jsou archivovány.
Pokud zaměstnanec zapomene některé heslo, pak musí kontaktovat IT helpdesk, kde mu operátor
položí některou z 5 kontrolních otázek a zaměstnanec musí odpovědět. Jestliže jsou odpovědi
v souladu, pak je vytvořeno nové heslo. V případě chybné odpovědi následuje proces dalšího
prověřování identifikace zaměstnance – kontaktování nadřízeného apod.
Při zabezpečování a ochraně dat na počítači musíme brát v úvahu nejen přístup přes internet, ale také
přístup fyzický. V rámci budovy společnosti Alcatel-Lucent Czech, s.r.o. se nezaměstnanec nesmí
pohybovat bez předchozí identifikace. Každá návštěva musí projít přes recepci, kde musí nahlásit své
jméno, důvod návštěvy, kontaktní osobu společnosti. Obdrží čipovou kartu návštěvníka a podepíše se
do návštěvního listu. Recepční telefonicky kontaktuje zaměstnance. Tato osoba přijde na recepci a
50
převezme návštěvu. Při vstupu do budovy musí návštěva přiložit čipovou kartu ke čtečce, což ji
umožní vejít do budovy a také ji bezpečnostní systém zaeviduje. Při opouštění budovy zaměstnanec
doprovodí návštěvu na recepci a návštěva přiloží čipovou kartu na čtečku u hlavních dveří. Tím se jí
jednak otevřou dveře, ale také se odhlásí z bezpečnostního systému. Pokud by to návštěva
opomněla, zůstane v registru přítomných osob a ve večerních hodinách bude zkontaktována
bezpečnostní agentura, aby vyprovodila návštěvu z objektu. Po celou dobu musí být návštěva
s pověřenou osobou, neboli s osobou, za kterou přišla. Při opouštění objektu návštěva odevzdá
čipovou kartu na recepci.
Přístup k dokumentům je rovněž omezen. Veškeré dokumenty jsou pečlivě založené v šanonech, a
pokud nikdo není přítomen v jejich blízkosti, jsou šanony založené ve skříních opatřených zámky.
Nejdůležitější dokumenty jsou umístěny ve 3. patře, kde sídlí management firmy. Zabezpečení ze
strany uschování dokumentů má společnost více než dostatečné. Nicméně jak je to s tiskárnami?
Tiskárny se ve firmě rozdělují na 2 typy:
1. Veřejné bez hesla
2. Chráněné heslem
Jak již názvy napovídají, jsou to tiskárny, které jsou opatřené heslem nebo nikoliv. Veřejné tiskárny
bez hesla jsou umístěné v na každém patře společnosti. Veřejná tiskárna chráněná heslem je
umístěná na 3. patře a využívá se pro tisk zvlášť citlivých dokumentů společnosti právního nebo
personálního charakteru.
Tímto jsme uzavřeli veškerou ochranu fyzických dat a přesouváme se k ochraně dat v rámci PC.
Alcatel-Lucent Czech, s.r.o. má korporátní směrnice, které ošetřují bezpečnost dat v počítači. Jedním
z požadavků interní IT směrnice je absolutní zákaz připojování jiných než firemních notebooků do
interní sítě. Pokud počítač není registrovaný v rámci firmy, pak není možné se připojit a přihlásit se do
sítě bez specifických pomůcek, jako jsou již dříve zmíněné tokeny. Dále směrnice upravuje pravomoc
v rámci administrace počítače svěření firemních notebooků a stolních počítačů konkrétním osobám je
evidováno v IT dokumentacích a v evidenci majetku na osobní kartě zaměstnance.
Není dovoleno instalovat korporací neschválený software. Softwary povolené korporací jsou uvedeny
v IT shopu firmy.
Roli administrátora vlastní všichni zaměstnanci. Je to kvůli dodatku v pracovní smlouvě, který říká:
Každý uživatel odpovídá za stav svého počítače.
Zaměstnanci mají možnost šifrovat veškerá data na discích dobrovolně. Firemně důležitá data se
šifrují povinně.
Společnost Alcatel-Lucent Czech, s.r.o. využívá pro interní zabezpečení informací předdefinované
pozice tzv.: korporátní image. Image se skládá ze stanovených standardů a přístupů, které získá
zaměstnanec po svém nástupu. Zaměstnanci řeší veškeré potřebné přístupy a softwary přes IT shop.
IT shop funguje v rámci celé korporace a zaměstnanci si zde mohou žádat o programy, přístupy a
softwary, které potřebují k práci. Pokud by znamenalo nainstalování softwaru jakýkoliv finanční dopad
na společnost, pak musí být schválený nadřízeným nebo regionálním managerem. Stejně tak, pokud
zaměstnanec chce získat více virtuální paměti ve firemní emailové poště, pak musí zkontaktovat
provozovatele, jestli lze požadované kapacity mohou uvolnit.
51
Vyvstává zde otázka, jak zjistit, jestli si zaměstnanec neobjednal přes IT shop něco, co nepotřebuje?
Jestliže zaměstnanec požaduje přístup do softwaru, který není v korporátním image, pak musí poslat
přes IT shop požadavek. Tento požadavek obdrží jeho nadřízený nebo správce, který ho schválí nebo
zamítne. Pokud ho schválí, požadavek je postoupen do IT centra, kde se vystaví tzv.: ticket. Ticket
obsahuje předmět a rozhodnutí o schválení. Ticket je následně zaslán do specializované IT buňky, kde
je stanoven řešitel a ten požadavek zpracuje. Velmi podobný postup je při požadavku na vypnutí
antiviru z důvodu instalace aplikace.
V každém prostředí existuje chyba lidského faktoru, proto ve společnosti Alcatel-Lucent Czech, s.r.o.
probíhá kontrola ze strany IT. Databáze uchovává detailní informace o pohybech dat na jednotlivých
účtech a zaznamenává co, kdy a kdo nainstaloval do počítače.
Druhé bezpečnostní opatření je v podobě SMS software manager server. Stará se o automatizovaný
audit a průběžně udržuje a aktualizuje databáze firmy v rámci bezpečnosti a ochrany dat v nich
vložených.
Dokumenty se musí zabezpečovat podle jejich důležitosti. Velmi důležité dokumenty jsou takové, které
se týkají finančních operací firmy. Pro bankovní spojení využívá společnost 2 systémy.
1. Trax
2. Citidirect
Trax je bankovní systém, který firma používá na veškeré odchozí a příchozí platby v rámci bankovních
účtů s výjimkou mezd. Pro potvrzování bankovních transakcí se využívá firemní token pro
vygenerování potvrzovacího hesla.
Citidirect je elektronický systém banky Citibank Europe plc, organizační složka a ve společnosti se
využívá na platbu mezd a zákonných mzdových odvodů. Přísné zabezpečení operací v rámci
Citidirectu je vyžadováno jednak firmou samotnou, ale také bankou. Využívají se speciální tokeny.
Bankovní token je vázán na společnost a osobu, která odpovídá za správný průběh operací týkajících
se mezd a má přesně vymezená práva, která se řídí hierarchickým postavením v rámci firmy.
V systému Blue Planet probíhají veškeré účetní, logistické a projektové operace. S tímto systémem
spolupracuje aplikace MARS.
MARS se využívá pro zadání požadavků nákupu – hmotného i nehmotného investičního majetku a
režijních služeb. Každý zaměstnanec má přístup do aplikace MARS a může zadat svůj požadavek na
nákup. Schválení požadovaného nákupu má 7 úrovní:
1. Requester – je to zaměstnanec, který zadal požadavek na nákup.
Nyní se požadavek na nákup postupuje dalším schvalovatelům. Každá z následujících osob může
požadavek zamítnout.
2. Co-reader – do této skupiny patří management, který deleguje tvorbu svého požadavku na
nákup na asistentku. Následně mají pravomoc k přečtení a k odsouhlasení či zamítnutí.
3. Co-requester – vedoucí nákladového střediska, jenž může odsouhlasit či zamítnout
potencionální náklad, za který odpovídá.
4. Purchaser approver – zde nákupní oddělení posuzuje, zdali byla dodržena veškerá interní
pravidla pro nákup. Řídí se interními předpisy i smlouvami uzavřenými s dodavateli.
52
5. Budget approver – pozice schválení rozpočtu je ve společnosti využívána pro zadání účetní
informace. Do požadavku účetní zadá číslo účtu, kam se později náklad zaúčtuje.
6. Hierarchical approver – vrcholový management. Poslední úroveň je někdy vynechána,
protože do 6. úrovně se dostanou pouze nákupy s větším finančním zatížením firmy.
Od 5000 Kč
Částka v Kč
Do 5000 Kč
Nad 20 000 Kč
do 20 000 Kč
Schvalující
Vedoucí nákladového
Finanční ředitel
střediska
Finanční ředitel a
Generální ředitel
Tabulka č. 6: Schvalovací řád
7. Special approver – týká se pouze specificky vymezených oblastí nákupu. Pro příklad bych
uvedl nákup „školení pro zaměstnance“, za které odpovídá a schvaluje také oddělení HR.
Následné stupně již nejsou součástí schvalovacího řízení. Patří sem:
8. Dispatcher – jenž se stará o odeslání, či přijmutí nákupu.
9. PSSC (Purchasing Share Service Centre) – vytváří číslo objednávky a to následně
přeposílá objednavateli - requestorovi. Z důvodu centralizace se korporace rozhodla mít PSSC
oddělení v Rumunsku.
Jak jsem již zmínil v dřívějších částech práce, software Blue Planet je speciálně upravený SAP pro
potřeby korporace Alcatel-Lucent a.s. Přístup do systému Blue Planet je ochráněn zvláštním heslem a
pokud má zaměstnanec získat přístup, či vlastní účet v systému BP, pak musí jeho přímý nadřízený o
přístup zažádat. Součástí žádosti je specifikace pozice, kterou zaměstnanec zastává a ze které
vyplývá jaká oprávnění, přístupy a transakce bude zaměstnanec využívat.
Pro příklad majetková účetní:
Přístup do modulu majetku - účetní má zpřístupněny náhledy na jednotlivé karty majetku, detaily
plánovaných a skutečných odpisů majetku, reporty hmotného a nehmotného majetku podle různých
požadavků. Na příklad: podle tříd majetku, stáří majetku apod.
Dále má přístup do hlavní knihy – náhled na detaily a zůstatky účtů hlavní knihy týkající se na příklad:
majetku a odpisů.
V důsledku centralizaci celého administrativního sektoru v korporaci, se zpracování účetnictví
outsourcuje a transakce se zadávají do systému v Rumunsku. V České republice se neúčtuje, účetní
nemá možnost aktivně zapisovat na účty, zadávat účetní transakce. Působí jako účetní supervizor,
podle jehož pokynů se transakce v Rumunsku zadává a následně kontroluje správnost zaúčtování.
Výjimku má hlavní účetní firmy, která v případě nutnosti může zadat účetní případ přímo do Blue
Planet.
Kromě funkce účetního supervizora účetní oddělení zastává i funkci skenovacího oddělení došlých
faktur. Ke skenování se využívá korporátní program FileNet, pro zadávání je nutné vlastnit speciální
přístupové heslo. Každá právní jednotka korporace Alcatel-Lucent a.s. má vlastní virtuální box, pro
53
svou zemi. Box se dále dělí na podadresáře pro uložení jednotlivých typů dokumentů. Na příklad:
zálohové faktury, daňové doklady - faktury a opravné daňové doklady. Celý proces skenování vypadá
následovně:
1. Účetní v ČR naskenuje došlou fakturu a uloží ji do příslušného boxu CZ adresář daňové
doklady a faktury ve FileNetu.
2. Účetní v Rumunsku přiřazená pro ČR si zobrazí fakturu z boxu a zaúčtuje ji podle účetních
dispozic zapsaných v objednávce. Digitalizovanou fakturu připojí k účetnímu zápisu v softwaru Blue
Planet.
3. Účetní v České republice zkontroluje zápis, a pokud nalezne chybu, pošle chybové hlášení
do outsourcované účetní společnosti a chyba je následně opravena.
Veškeré operace ve společnosti Alcatel-Lucent Czech, s.r.o. podléhají specifickému podpisovému
řádu. Dle oficiálních směrnic firmy, každý dokument musí být podepsán alespoň 2 odpovědnými
zaměstnanci. Tomuto opatření se říká tzv. Princip 4 očí, kde navrženou transakci odpovědný subjekt
zkontroluje a další odpovědný subjekt podepíše. Až po podpisu nabývá dokument - smlouva platnost.
Každý podpis se musí skládat ze jména a příjmení. Dle principů podpisového řádu, pokud
zaměstnanec, jenž má pravomoc podepisovat, není přítomen, je zastoupen:
1. Osobou, jež je podepisujícím určena jako její náhrada v průběhu absence, dle podpisového
řádu Annex 2.
2. Osobou, která má oprávnění podepisovat dokumenty na stejné úrovni důležitosti.
Annex 1,2 a 3 jsou oddíly podpisového řádu, jenž každý z nich má určitou funkci v rámci
podepisujících a schvalovacích práv.
Tabulka č. 7 : Annex 1:
Case
Contracting party
Document
Approval
Vacation approval
Employee
Vacation sheet
Direct Superior
Car log approval
Employee
Acars
Direct Superior
Sick leave slip approval
Employee
Sick Note
Direct Superior
Travel approval
Employee
Travel Announcement
Direct Superior
Attendence sheet
Employee
Attendance sheet
Direct Superior
Tabulka vyjadřuje Podpisový řád v rámci jednotlivých případů. Case vyjadřuje případ, který nastal. Pro
příklad bych uvedl Vacation approval – schválení dovolené, o které žádá Employee – zaměstnanec a
tento požadavek se zaznamenává v dokumentu – Vacation Sheet. Poslední část celého procesu je
schválení, které zastává Direct Superior – přímý nadřízený.
Pořízení vzdáleného připojení k podnikové síti. Schvalovací postup obsahuje 4 stupně.
1. Human Resources – má funkci Special approval
54
2. Finanční ředitel – schvaluje finanční limity a zajištění prostředků v rozpočtu daného
nákladového střediska
3. Managing Director – má funkci Final approval
4. Office management – je zodpovědný za aktivování a administraci služby
Schvalování bankovních příkazů. V systému Citidirect probíhá úhrada mezd a zákonných odvodů.
Účetní načte uzamčený soubor se mzdovými bankovními údaji do systému Citidirect.
Schválení bankovního příkazu má 2 úrovně:
1. Hlavní účetní – kontrola příkazu a schválení - První podpis.
2. Finanční ředitel – schválení - druhý podpis, odesílání příkaz.
V systému Trax je celý proces složitější z důvodu centralizace účetnictví v Rumunsku. Tvorbu
bankovního příkazu podle zadaných kritérií zajišťuje outsourcovaná účetní firma v Rumunsku.
V České republice účetní zkontroluje správnost dat a případně zažádají o korekce dle lokálních
požadavků.
Schvalování je stejné jako v případě Citidirect:
1. Hlavní účetní – se zabývá kontrolou a schválením transakce – první podpis.
2. Finanční ředitel – schvaluje – druhý podpis a odesílá transakci do banky.
Existuje i forma manuálních plateb, které se neodesílají do Rumunska, ale zadává je do systému Trax
účetní v ČR. Příkladem manuálních plateb jsou daně a odvody státu. Z důvodu manuálního
zpracování musí docházet k dvojí kontrole.
1. Hlavní účetní – má za úkol kontrolu oprávněnosti – validace a první podpis.
2. Finanční ředitel – přidává k dokumentu druhý podpis a odesílá.
Pokud bychom měli hovořit o procesech firmy, které se týkají fyzických dokumentů, pak víme, že
společnost Alcatel-Lucent Czech, s.r.o. má ve svých směrnicích zpracovaný spisový, archivní a
skartační řád. Tento řád vymezuje postup při manipulaci s písemnostmi a jinými dokumenty a
obsahuje 3 úrovně:
1. Spisový řád – tento systém zajišťuje racionální manipulaci s písemnostmi a zabraňuje jejich
neodbornému znehodnocování. Řád se vztahuje na veškeré písemnosti, tedy vzniklé v rámci
společnosti, ale i přijaté.
2. Archivní řád – určuje pravidla pro manipulaci a archivaci písemností
3. Skartační řád – zajišťuje postup při vyřazování písemností a dalších záznamů, jako je video
záznam, či audio záznam.
Směrnice vychází ze zákona 03/2008 Spisový, archivní a skartační řád. Veškerou odpovědnost za
evidenci přijatých a odchozích písemností má recepční. Ze směrnic mají nařízeno evidovat došlou
poštu a balíky 3 způsoby:
1. Knihy přijaté pošty – evidují se zde veškeré doporučené písemnosti.
2. Knihy přijaté a odchozí pošty – zbytek písemností.
3. Knihy Messenger – zaznamenávají zde veškeré písemnosti doručené zásilkovými službami.
Při manipulaci došlé pošty má recepční povinnost zkontrolovat:
55
1. Zda pošta patří společnosti Alcatel-Lucent Czech, s.r.o.
2. Zda obsahují veškeré uvedené přílohy.
3. Zda nejsou poškozeny.
Pokud cokoli z předešlých částí nesouhlasí, pak problém recepční popíše do Knihy přijaté pošty a
následně distribuuje poštu v rámci firmy jejím příjemcům.
Vyřizování písemností se, dle směrnic, prováděni svědomitě, rychle, účelně a hospodárně. Lhůty pro
vyřizování písemností jsou značně flexibilní, dle závažnosti písemnosti.
(interní směrnice Alcatel-Lucent)
Uložené písemnosti se ukládají podle věcné příslušnosti v příručních registraturách útvaru. Jsou zde
uloženy pouze na dobu nezbytnou.
Archivační činnost společnost Alcatel-Lucent neutsourcuje. Uvnitř společnosti se nacházejí speciální
spisovny. Dokumenty se archivují dle potřeb zaměstnanců. Pracovník zodpovědný za archivaci je buď
správce spisovny, nebo jiná pověřená osoba. Před uložením musí správce zkontrolovat veškeré
archivační bedny. Tato kontrola se dělá z důvodu ověření označení beden i kontroly jejich obsahu.
Správce spisovny má za úkol veškeré archivované bedny zaevidovat v speciálním dokumenty
nazvaném Evidence spisovny. Dále správce spisovny označí každý box skartačním znakem a
skartační lhůtou, která se vypočítává podle tabulky skartačních znaků a lhůt. Skartační lhůta se bere
vždy jako kalendářní rok. Po uplynutí skartační lhůty musí rozhodnout QM o dalším postupu. Má na
výběr 2 cesty:
1. Prodlouží skartační lhůtu
2. Dá pokyn ke skartaci, přičemž musí přesně uvést, jakým způsobem skartace proběhne.
Na uložení písemností má společnost speciální místnost, která je přísně zabezpečena proti vniku
nepovolaných osob. Spisovna musí být zajištěna dobrým bezpečnostním zámkem, aby se vyloučila
možnost i násilného vniknutí. Dále je spisovna situována uvnitř pobočky společnosti Alcatel-Lucent a
tato místnost musí být dostatečně ochráněna před živelnými vlivy. Musí se minimalizovat jakékoliv
poškození dokumentů v ní uložených.
Přístup do spisovny mají pouze zaměstnanci a jen oni mohou nahlédnout do archivovaných
dokumentů. Veškeré přístupy musí povolit buď správce spisovny. Stejné pravidlo platí při vynášení či
půjčování dokumentů, kdy znovu musí výpůjčku odsouhlasit správce spisovny. Půjčování dokumentů
se musí evidovat. Vše se zapisuje do tzv. Evidence spisovny. Při navrácení písemností správce
spisovny zkontroluje stav dokumentů, a pokud je vše v pořádku, pak vymaže zápis z knihy Evidence
spisovny. Správce spisovny rovněž může dělat namátkové kontroly všech archivovaných dokumentů a
také dokumentů, které si vypůjčili zaměstnanci. Zaměstnaneckou kontrolu dělá přímo u zaměstnance,
který si dokument vypůjčil. Pokud si dokument chce zaměstnanec odnést mimo budovu společnosti
Alcatel-Lucent, pak musí mít souhlas generálního ředitele.
Ochrana a archivace elektronických dat zajišťuje a rovněž za ni odpovídá korporace společnosti.
Každý zaměstnanec si může nechat dobrovolně archivovat elektronická data buď na flash disk nebo
jiná paměťová média jako jsou CD, DVD, apod. Každé médium je označené identifikačním kódem,
datem kdy byla data zálohována a jménem zaměstnanec, kterému data náleží. Poté jsou nosiče dat
56
ponechány zaměstnancům a ti je musí uschovat na bezpečném místě. Tedy minimálně v zamykatelné
zásuvce stolu.
Skartační řízení
Skartační řízení ve firmě probíhá jednou ročně a vyřazují se tím veškeré dokumenty, které již nemají
pro společnost Alcatel-Lucent hodnotu nebo se staly nepotřebnými. Fakt, že dokument je nepotřebný,
rozlišujeme podle 2 kritérií:
1. Historické
2. Hospodářské
Uvnitř společnosti se dokumenty neskartují. Společnost si najímá externího dodavatele, který podle
smlouvy v přesně daný čas dodá do firmy tzv. Skartační kontejnery. Odpovědní pracovníci je naplní a
dodavatelská společnost plné kontejnery zase odveze a následně se postará o jejich skartaci.
Skartovat se ovšem nemůže každý dokument po vypršení doby určené zákonem. Nejdříve správce
spisovny nebo zaměstnanci vypracují tzv.: Skartační návrh. Ten se zhotoví v několika kopiích a
následně externí archiv vydá spolu s danou kopií skartačního návrhu Povolení ke skartaci písemností.
Zaměstnanci pak veškeré dokumenty, jež jsou uvedeny v Povolení ke skartaci, označí písmenem “S“.
Bez “S“ označení se nesmí žádný dokument skartovat. Při obdržení Skartačního povolení mají správci
spisoven nebo zaměstnanci za úkol:
1. Zkontrolovat veškeré dokumenty s označením “A“ – označují se tak dokumenty k trvalému
uskladnění.
2. Dokumenty, které obdrží označení skupiny “S“ – jsou předány ke skartaci.
3. Veškeré skartace dokumentů zaevidovat v náležitých dokumentech – Evidence spisovny.
Tabulka č. 8 : Tabulka skartačních znaků a lhůt
Minimální
doba uložení
ve spisovně
Skartační znak
Dokumenty o vzniku společnosti:
5 let
A
Zakladatelské dokumenty
5 let
A
Organizační řád
5 let
A
Dokumenty o sloučení
5 let
A
Dokumenty o zrušení společnosti
5 let
A
Dále dokumenty týkající se aktivit spol.:
5 let
A
Dokumenty vrcholového řízení subjektu
5 let
A
Finanční dokumenty (závěrky, další výkazy)
5 let
A
Kolektivní smlouvy
5 let
A
Příručka jakosti
5 let
A
Mzdové listy
45 let
S
Objednávky, smlouvy
3 roky
S
Nabídky, Poptávky
3 roky
S
Daňové doklady
10 let
S
Účetní doklady
5 let
S
Dokumenty
Konkrétní dokumenty:
57
Evidence o cenách
3 roky
S
Tabulka skartačních znaků a lhůt nám ukazuje, jaké dokumenty si firma musí ze zákona ponechat a
jaké dokumenty může v případě uplynutí dostatečné doby pro archivaci skartovat.
Vysvětlivky:
Skartační znak A – nesmí se skartovat
Skartační znak S – skartuje se po uplynutí doby dané zákonem
Minimální doba uložení ve spisovně – doba daná zákonem nebo vnitřními směrnicemi společnosti.
Přičemž doba určená směrnicí nesmí být kratší než doba určená zákonem. Dokumenty, které se
nesmí firmou skartovat, mají své opodstatnění. Tyto dokumenty jsou důležité pro státní orgány,
investory, dodavatele či zákazníky.
V účetnictví se musí provádět kontroly. Tyto aktivity mají za úkol včas zjistit případné nedostatky či
chyby tak, aby je mohli pověření zaměstnanci napravit dříve, než by vznikly nějaké následky. Dopad
na společnost může být jen malý, tedy pokuta, nebo pokud firma dlouhodobě nesplňuje své závazky
vůči vedení účetnictví, pak finanční úřad zakáže její činnost. Společnost Alcatel-Lucent s.r.o. má velmi
přísné kontroly účetních dokladů. Veškerý dohled rozdělujeme:
1. Průběžný dohled ze strany účetních
2. Měsíční závěrky – je kontrolován každý účetní měsíc odpovědnou osobou, tedy hlavní
účetní.
3. Otevřené závazky a pohledávky v rámci skupiny – kontrolu zásadně provádí hlavní účetní.
4. Roční závěrka – společnost Alcatel-Lucent Czech, s.r.o. využívá služeb auditorské firmy.
58
3 Závěrečné shrnutí
Dle mého pozorování a porovnávání obou firem musím říci, že obě firmy se velmi dobře starají o
zabezpečení jak fyzických tak i elektronických informací. Obě firmy jsou členy mezinárodních
korporací a musí být dostatečně zabezpečeny proti případným útokům.
Rozdílem mezi těmito institucemi figuruje počet zaměstnanců.
Obrázek č. 6: Počet zaměstnanců
Tento graf nám vysvětluje, kolik zaměstnanců mají jednotlivé firmy. Údaje jsou odhadované
z informace, kde se uvádí:
1. Počet zaměstnanců ČSOB Leasing a.s. je od 500 do 999
2. Počet zaměstnanců Alcatel-Lucent s.r.o. je od 50 do 99
Počet zaměstnanců má v zabezpečení dat velký vliv. Pokud má firma více zaměstnanců, pak je
potřeba aby více kontrolovala účty, měla častější audit apod. Rovněž je v těchto velkých korporacích i
větší množství fluktuace zaměstnanců než v menších pobočkách, jako je Alcatel-Lucent Czech, s.r.o.
Proto si musí organizace jako taková, dávat větší pozor a pečlivě evidovat své zaměstnance pomocí
zápisů na recepci a přístupových karet.
Na rozdíl od ČSOB leasing a.s. má společnost Alcatel-Lucent Czech, s.r.o. velkou výhodu v menší
množství zaměstnanců a tím i menší fluktuaci. Pokud by se kdokoliv snažil zcizit nebo vyhledat
informace, které mu nepřísluší, bude velmi rychle přistižen a potrestán dle pracovního práva nebo
pomocí rozhodnutí komise v rámci firmy, pokud je prohřešek méně závažný. Méně zaměstnanců
znamená i přátelštější atmosféra v rámci firmy. Pobočka Alcatel-Lucent Czech, s.r.o. je členem velké
korporace Alcatel-Lucent a.s., která má zastoupení na celém světě. Společnost má pobočky od USA,
přes Evropu a až v Shangaji. Díku tomuto zastoupení v různých částech světa, mají dočinění s mnoha
útoky. Informace z nich získané se následně, díky centralizovanému informačnímu systému, distribuují
do ostatních poboček a společnost tak může rychle zareagovat na případné ohrožení.
59
13.
ZÁVĚR
Vypracoval Bakalářskou práci na téma bezpečnost a ochrana dat v účetnictví vedeném na počítači.
Rozdělil jsem práci na fyzickou a virtuální ochranu. Fyzickou jsem popsal v jejím začátku a virtuální
v následné části. Celou virtuální část jsem uvedl historií vzniku počítačů a internetu, který dříve byl jen
pro vojenské účely, a říkalo se mu Arpanet.
Dále jsem shrnul základy kryptografie, kde jsem popsal 3 typy šifrování. Substituční i permutační
šifrování a polygrafickou substituční šifru. Rovněž jsem zde rozebral i kryptografii a kryptoanalýzu.
Přičemž hlavním úkolem kryptografie je chránit data a zabránit neautorizovanému pokusu o přečtení.
Kryptoanalýza je oborem, který má jako hlavní úlohu analyzovat algoritmy a rovněž analyzovat
zašifrovaná data. Celá úvodní kapitola byla završena definováním kyberprostoru, což je virtuální svět
vytvořený moderními technologickými prostředky (např. počítačem).
V další části jsem rozebíral detailní ochranu počítače a dat v něm uložených. Rozebíral jsem hlavně
hrozby, tedy útočníky, kteří nás mohou napadnout. Mezi útočníky patří hackeři, crackeři, black hats,
apod. Mohou být mezi nimi amatéři i profesionálové. Rovněž jsem popsal i jakými způsoby nás tito
útočníci mohou ohrozit. Jsou to různé viry, trojské koně apod, jako na příklad Dropper, Hoax, apod.
Tuto kapitolu jsem uzavřel elektronickým klíčem. Popsal jsem jeho fungování i princip Hashe.
Následná část se týká čistě jen právní stránky, která je v bezpečnosti rovněž důležitá. Rozebírám zde
základní zákony, ale i mezinárodní směrnice EU jako je směrnice 2006/24/ES, o uchovávání údajů
vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb
elektronických komunikací nebo veřejných komunikačních sítí. Stejně tak jsem rozebral i českou
sbírku zákonů. Pro příklad bych uvedl zákon č. 101/2000 Sb., v platném znění o ochraně osobních
údajů.
Poslední část před praktickou částí je věnované jen účetní tématice. Popisuji, jak způsob
zaznamenávání účetních položek postupoval v čase. Rovněž popisuji i základy a principy auditu. Dnes
se již nedělá kontrola jednotných účetních výkazů, ale jen mechanismy, jakými jsme dostali dané
hodnoty. Završuji tuto část radami pro společnost, která zamýšlí pořízení účetního software. Rovněž
zde i popisuji obecné náležitosti a důvody, proč si firmy pořizují software.
Poslední částí mé bakalářské práce je praktická část, kde jsem pozoroval a popsal jednotlivé
bezpečnostní opatření firem Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s. Dle pozorování mohu
říci, že obě firmy jsou velmi orientované na zabezpečení dat. Kvůli jejich podnikatelském zaměření,
které vyžaduje důvěryhodnost. Alcatel Lucent Czech, s.r.o. se zabývá telekomunikační technologií a
ČSOB Leasing a.s. se zabývá pojišťovnictvím. Obě firmy jsou mezinárodní korporace. Proto směrnice
jsou unifikovány s pravidly centrály obou společností.
60
14.
CONCLUSION
As per the formulation of the task, I wrote this bachelor's thesis on the topic of data integrity and
protection in computerized accounting.
The paper is structured is along the difference between
physical and virtual protection. In the first part of the thesis, I describe physical protection, followed by
virtual protection. This part on virtual protection begins with a history of computers and of the Internet,
initially an asset solely for military purposes known as Arpanet.
I also include the basics of cryptography, describing three types of ciphers: substitution, permutation,
and polygraphic substitution. Here, I also review cryptography and cryptanalysis. While the main
objective of cryptography is the protection of data and the prevention of unauthorized attempts to
access data, cryptanalysis as a discipline is chiefly concerned with the analysis of algorithms and of
encrypted data. This entire introductory chapter closes with a definition of cyberspace: the virtual
world created by modern technology (such as computers).
In a further section, I analyze in detail the protection of computers and of the data stored in the same.
Above all, I analyze the main threats – i.e., attackers – to which we are exposed, among them
hackers, crackers, black hats, etc. These attackers may be amateurs or professionals. I also describe
the various methods and pathways of attack: various viruses, Trojan horses, etc., such as e.g. Dropper
or Hoax. This chapter closes with a mentioning of electronic keys; I describe how they function on the
basis of the hash principle.
The following section is purely concerned with the legal side of the issue, which is of likewise
importance in the area of security.
I analyze major laws in this area, but also international EU
directives such as Directive 2006/24/EC, on the retention of data generated or processed in
connection with the provision of publicly available electronic communications services or of public
communications networks. I also analyze the Czech Collection of Laws – by way of example, I may
mention the Data Protection Act (act No. 101/2000 Coll., as amended).
The last section before the practical part exclusively addresses accounting issues. I describe how the
manner in which accounting items are recorded evolved over time, as well as the basic concepts and
principles of auditing. Today, no longer are the individual accounting records being examined, but
merely the mechanisms by which we arrived at the given figures. This part closes with a set of
recommendations for companies which contemplate the acquisition of accounting software. I also
describe general requirements and reasons for which companies purchase such software.
The final part of my bachelor's thesis is a practical part, in which I observe and describe the various
security measures that are in place at Alcatel-Lucent Czech s.r.o. and ČSOB Leasing a.s.,
respectively. Based on my observations, I may say that both firms put great store in data security,
given the nature of their business which is crucially dependent on trustworthiness. Alcatel Lucent
Czech s.r.o. deals in telecommunication technologies, and ČSOB Leasing a.s. is concerned with
insurance transactions; both firms are international corporations. Their security policies are therefore
harmonized with the rules that are in place at corporate headquarters.
61
62
15.
SEZNAM POUŽITÉ LITERATURY
1. L. Mejzlík. Účetní informační systémy. Oeconomica 2006 str.16, 19-22, 28, 30, 32, 39, 41, 6975, 76, 82, 98-99, 101, 102. ISBN 80-245-1136-3
2. Tomáš Doseděl. Počítačová bezpečnost a ochrana dat. Computer press 2004. SBN: 80-2510106-1
3. Michal Matějka. Počítačová kriminalita. Computer press, 2002, str 54, 44, 20. ISBN: 80–
7226–419–2
4. Sturart Mcclure, Joel Scambray, George Kurtz. Hacking bez tajemství 3. Aktualizované
vydání, kapitola 6. Computer press 2003. ISBN: 8072269488
5. Úřad pro ochranu osobních údajů (online) (cit 11.12. 2010) http://www.uoou.cz/uoou.aspx?
menu=13).
6. Ministerstvo vnitra ČR (online) (cit 11.12. 2010)
http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx
7. ČSOB Leasing (online) (cit 1.1 2011)
http://www.csobleasing.cz/cz/kontakty/pobockova-sit
8. Justice (online) (cit 1.1 2011)
9.
10.
11.
http://www.justice.cz/xqw/xervlet/insl/index?
sysinf.@typ=or&sysinf.@strana=searchResults&hledani.@typ=subjekt&hledani.format.typHle
dani=x*&hledani.podminka.subjekt=%c8SOB
ČSOB Leasing (online) (cit 3.1 2011)
http://www.csobpoj.cz/spolecnost/
Bc. Pavel Aberle (online) (cit 3.1 2011)
http://is.muni.cz/th/342895/fss_m/Budoucnost.kyber.teror.Aberle.DP.pdf
Bezpečnostní informační služba (online) (cit 10.1 2011)
www.bis.cz
http://www.lupa.cz/clanky/jaky-byl-internet-v-praveku/
12.
13. Army (online) (cit 10.1 2011)
http://www.army.cz/scripts/detail.php?id=309
14. Samuraj (online) (cit 10.1 2011)
http://www.samuraj.cz/clanek/internet-a-jeho-historie
15. Pelikán (online) (cit 15.1 2011)
http://www.fi.muni.cz/usr/pelikan/ARCHIT/TEXTY/HISTOR.HTML
16. Informační služby veřejné správy (online) (cit 18.1 2011)
http://www.isvs.cz/e-podpis-podatelny/papirovy-versus-elektronicky-dokument-27-dil.html
17. E-pravp (online) (cit 18.1 2011)
http://www.epravo.cz/top/clanky/delka-archivace-ucetnich-dokumentu-42894.html
18. Ministertsvo vnitra ČR (online) (cit 25.1 2011)
http://aplikace.mvcr.cz/archiv2008/sbirka/2002/sb047-02.pdf
19. Sagit (online) (cit 25.1 2011)
(http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb02310)
63
20. http://www.sagit.cz/pages/sbirkatxt.asp?cd=76&typ=r&zdroj=sb02517
21. portál: Právo (online) (cit 16.2 2011)
http://cs.wikipedia.org/wiki/Listina_základních_práv_a_svobod
22. PSP (online) (cit. 16.02.2011)
http://www.psp.cz/docs/laws/listina.html (16.2.2011)
23. Pecina (online) (cit. 17.02.2011)
http://iuridictum.pecina.cz/w/Kolisní_pravidla (17.2.2011)
24. http://www.psp.cz/docs/laws/constitution.html (17.2.2011)
25. http://www.esyhandicaphelp.wgz.cz/prehled-nejdulezitejsich (17.2.2011)
26. Jitka Hradilová, Ikaros (online) 2008, roč. 12, č. 2 (cit. 17.02.2011)
http://www.ikaros.cz/ochrana-osobnich-udaju-v-evropske-unii
27. Eur-lex (online) (cit. 17.02.2011)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:15:31995L0046:CS:PDF
(17.2.2011)
28. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:01:CS:HTML
(17.2.2011)
29. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:CS:PDF
(17.2.2011)
30. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:01:CS:HTML
(17.2.2011)
31. Business center (online) (cit. 18.02.2011)
http://business.center.cz/business/pravo/zakony/obchzak/cast1.aspx (18.2.2011)
32. http://www.businessinfo.cz/cz/clanek/orientace-v-pravnich-ukonech/ochrana-osobnich-udajuopu/1000818/51144/#b1 (18.2.2011)
33. http://business.center.cz/business/pravo/zakony/obcanzak/cast1.aspx (18.2.2011)
Český statistický úřad (online) (18.2.2011, Aktualizováno dne: 10.6. 2009)
http://www.czso.cz/csu/redakce.nsf/i/16_povinnost_mlcenlivosti_a_ochrana_individualnich_ud
aju
Úřad pro ochranu osobních údajů (online) (cit 15.2. 2011) http://www.uoou.cz/uoou.aspx?
menu=41&submenu=42
34. Ministerstvo vnitra ČR (online) (cit 18.2.2011)
http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx (18.2.2011)
35. http://spcp.prf.cuni.cz/lex/04-499x.htm (18.2.2011)
36. Business center (online) (cit. 18.02.2011)
http://business.center.cz/business/pravo/zakony/ucto/
37. http://business.center.cz/business/pravo/zakony/ucto/cast6.aspx (18.2.2011)
38. Česká archivní společnost (online) (cit. 18.02.2011)
http://www.cesarch.cz/legislat/117_74.htm#p3o1
64
39. Podnikatel (online) (cit. 18.02.2011)
http://www.podnikatel.cz/zakony/zakon-c-235-2004-sb-o-dani-z-pridane-hodnoty/cast-prvnihlava-ii/
40. http://www.podnikatel.cz/clanky/nez-skartujete-fakturu-radeji-merte-dvakrat/ (18.2.2011)
41. Alcatel-Lucent (online) (cit. 21.02.2011)
http://www.alcatel-lucent.com/wps/portal/!
ut/p/kcxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLd4w3sfQGSYGYRq6mpEoYgbxjgiRIH1vfVP_NxU_QD9gtzQiHJHR0UAIZNI3w!!/delta/base64xml/L3dJdyEvd0ZNQUFzQUMvNElVRS82
X0FfNUxJ
42. Wikipedia (online) (cit. 05.03.2011)
http://cs.wikipedia.org/wiki/Morseova_abeceda
43. http://cs.wikipedia.org/wiki/Znakový_jazyk
44. http://referaty-seminarky.cz/sifrovani/
45. David Hartman Úvod do kryptografie (online) (cit. 05.03.2011)
https://uu.unicornuniverse.eu
46. Sophos (online) (cit. 05.03.2011)
http://www.sophos.com/security/topic/security-threat-report-mid2010/cyberwar-cyberterror.html
47. WSJ (online) (cit. 05.03.2011)
http://online.wsj.com/article/SB10001424052748704545004575352983850463108.html
48. Linux (online) (cit. 07.03.2011)
http://www.linuxexpres.cz/blog/hacker-vs-cracker
http://cs.wikipedia.org/wiki/I_Love_You (9.3.2011)
50. David Hartman 12. Přednáška (online) (cit. 09.03.2011)
(www.unicorncollege.cz,
http://cs.wikipedia.org/wiki/Spam
52. Úřad pro ochranu osobních údajů (online) (cit. 10.3.2011)
http://www.uoou.cz/uoou.aspx?menu=23&submenu=25
53. Recomando (online) (cit. 12.3.2011)
http://www.recomando.cz/elektronicky-podpis
65
16.
SEZNAM POUŽITÝCH SYMBOLŮ A ZKRATEK
Zkratka
Popisek
PC
Počítač
IT
Informační technologie
ICT
Information and Communication Technologies
66
17.
SEZNAM OBRÁZKŮ
67
18.
SEZNAM TABULEK
68
19.
SEZNAM PŘÍLOH
69
20.
70

Bezpečnost a ochrana dat v účetnictví vedeném

Transkript

Podobné dokumenty