Zakonska regulativa informacijske sigurnosti Aco Dmitrović @hgi-cgs.hr Vrijedi za sve organizacije • Zakon o elektroničkom potpisu (NN 10/02) • Zakon o elektroničkoj ispravi (NN.
Download ReportTranscript Zakonska regulativa informacijske sigurnosti Aco Dmitrović @hgi-cgs.hr Vrijedi za sve organizacije • Zakon o elektroničkom potpisu (NN 10/02) • Zakon o elektroničkoj ispravi (NN.
Slide 1
Zakonska regulativa
informacijske sigurnosti
Aco Dmitrović @hgi-cgs.hr
1
Slide 2
2
Slide 3
Vrijedi za sve organizacije
• Zakon o elektroničkom potpisu (NN 10/02)
• Zakon o elektroničkoj ispravi (NN 150/05)
• Zakon o zaštiti osobnih podataka
(NN 103/03)
– Uredba o načinu pohranjivanja i posebnim
mjerama tehničke zaštite posebnih kategorija
osobnih podataka (NN 139/04)
• Zakon o pravu na pristup informacijama
(NN 172/03)
3
Slide 4
TDV i lokalne samouprave
•
•
•
•
Zakon o sigurnosno-obavještajnom sustavu (NN 32/02)
Zakon o sigurnosnim službama (NN 32/02)
Zakon o tajnosti podataka (NN 79/07)
Zakon o informacijskoj sigurnosti (NN 79/07)
– Uredba o mjerama informacijske sigurnosti (NN 46/08)
– Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima
(NN 72/07)
– Uredba o načinu označavanja klasificiranih podataka, sadržaju i
izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o
postupanju s klasificiranim podacima (NN 102/07)
– Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za
informacijsku sigurnost (NN 100/08)
4
Slide 5
Banke i kreditne organizacije
• Odluka o primjerenom upravljanju informacijskim
sustavom (HNB, NN 80/07)
• Smjernice za adekvatno upravljanje rizikom
eksternalizacije (HNB listopad 2005.)
• Smjernice za upravljanje informacijskim
sustavom u cilju smanjenja operativnog rizika
(HNB ožujak 2006.)
• Smjernice za ovladavanje rizikom informacijskog
sustava u kreditnim unijama (HNB studeni 2007)
5
Slide 6
Ostale financijske institucije
• Pravilnik o detaljnom obliku i najmanjem
opsegu te sadržaju revizorskog pregleda i
revizorskog izvješća društava za
osiguranje (NN 76/06)
• Pravilnik o uvjetima za obavljanje poslova
ovlaštenog društva (NN 14/07)
• Pravilnik kojim se uređuje poslovanje
društva za upravljanje investicijskim
fondovima (NN 25/07)
6
Slide 7
Djelomično…
• Kazneni zakon (110/97)
• Zakon o obveznim odnosima (NN 35/5)
• Zakon o arhivskom gradivu i arhivima
(NN 105/97)
• Zakon o zaštiti i spašavanju (NN 174/04)
• Zakon o elektroničkoj trgovini (NN 173/03)
7
Slide 8
Zakon o zaštiti i spašavanju
• NN 174/04 Čl. 18 Pravne osobe dužne su
organizirati zaštitu i spašavanje od prijetnji i
posljedica nesreća, većih nesreća i katastrofa i
provoditi pripreme, poduzimati mjere
pripravnosti i aktivnosti u katastrofama i
otklanjanju posljedica te izvršavati druge obveze
propisane ovim Zakonom, drugim propisima i
svojim općim aktima
• IT: Business Continuity Management
8
Slide 9
Kazneni zakon
• NN 110/97, izmjene i dopune (NN: 27/98,
129/00, 51/01,105/04 i 84/05)
• 2004. dodana kaznena djela cyber-kriminala
• čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti
računalnih podataka, programa ili sustava
– Odredbe Konvencije o kibernetičkom kriminalitetu o
tajnosti, nepovredivosti i dostupnosti podataka
spremljenih na računalima i samih računala
– Kazneni progon se vrši po službenoj dužnosti
– Za inform. sigurnost relevantni članci 223 i 224
9
Slide 10
Zakon o obveznim odnosima
• NN 35/05 Uređuje osnove obveznih odnosa
(opći dio) te ugovorni i izvan ugovorni obvezni
odnosi (posebni dio)
• Ne sadrži kazne
– nepoštivanje dovodi do odgovornosti za štetu
– neka ponašanja mogu predstavljati kazneno djelo
(npr. prijevara)
• Za informacijsku sigurnost relevantan čl. 293.
10
Slide 11
Zakon o arhivskom gradivu
i arhivima
• NN 105/97
• Arhivsko je gradivo od interesa za
Republiku Hrvatsku i ima njezinu osobitu
zaštitu
• Arhivsko i registraturno gradivo zaštićeno
je bez obzira na to u čijem je vlasništvu ili
posjedu, te je li registrirano ili evidentirano
11
Slide 12
• Registraturno gradivo je cjelina zapisa nastalih
djelovanjem pravne ili fizičke osobe
• Arhivsko gradivo nastaje odabirom iz
registraturnog gradiva
– od trajnog značenja za kulturu, povijest i druge
znanosti
• Arhivi su ustanove za čuvanje, zaštitu, obradu i
korištenje AG
• Pismohrana je ustrojstvena jedinica u kojoj se
čuva AG do predaje nadležnom arhivu
12
Slide 13
Hrvatski državni arhiv
• Vodi registar arhivskih fondova i zbirki
• Vodi upisnik svih arhiva i vlasnika
arhivskog gradiva
• S ostalim arhivama
– Provodi mjere zaštite AG i brine za njegovu
sigurnost
– Obavlja stručni nadzor
– Obavlja sigurnosno i zaštitno snimanje,
restauratorske i konzervatorske poslove
13
Slide 14
Zakon o elektroničkom potpisu
NN 10/02
14
Slide 15
• Elektronički potpis – skup podataka u
elektroničkom obliku koji su pridruženi ili su
logički povezani s drugim podacima u
elektroničkom obliku i koji služe za
identifikaciju potpisnika i vjerodostojnosti
potpisanoga elektroničkog dokumenta
• Napredan elektronički potpis – pouzdano
jamči identitet potpisnika i udovoljava zahtjevima
sadržanim u članku 4.
15
Slide 16
Čl. 4.
Napredan elektronički potpis:
1. je povezan isključivo s potpisnikom
2. nedvojbeno identificira potpisnika
3. nastaje korištenjem sredstava kojima potpisnik
može samostalno upravljati i koja su isključivo
pod nadzorom potpisnika
4. sadržava izravnu povezanost s podacima na
koje se odnosi i to na način koji nedvojbeno
omogućava uvid u bilo koju izmjenu izvornih
podataka
16
Slide 17
• Napredan elektronički potpis ima istu pravnu
snagu i zamjenjuje vlastoručni potpis,
odnosno vlastoručni potpis i otisak pečata
• Ne može se odbiti prihvaćanje dokumenta
samo zbog toga što je sačinjen i izdan u
elektroničkom obliku s elektroničkim potpisom
• Iznimke: nekretnine, oporuke, (pred)bračni
ugovori, darovanje imovine, nasljeđivanje…
17
Slide 18
Certifikat
• Certifikat je elektronička potvrda kojom se
potvrđuje identitet potpisnika u postupcima
razmjene elektroničkih zapisa
• Kvalificirani certifikat je elektronička
potvrda kojom davatelj usluga izdavanja
kvalificiranih certifikata potvrđuje napredni
elektronički potpis
18
Slide 19
Kvalificirani certifikat
•
•
•
•
•
•
•
•
•
oznaku o tome da se radi o kvalificiranom certifikatu,
identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime;
ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište,
odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje
pravna osoba),
identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke,
nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište).
podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima
za izradu elektroničkog potpisa koji su pod kontrolom potpisnika,
podatke o početku i kraju važenja certifikata,
identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te
datum izdavanja),
napredni elektronički potpis davatelja usluge izdavanja kvalificiranih
certifikata,
ograničenja vezana za uporabu certifikata, ako ih ima,
ograničenja na vrijednost poslovnih događaja za koje se daje certifikat,
ako ih ima.
19
Slide 20
Ministarstvo gospodarstva
• Vodi evidenciju o davateljima usluga
certificiranja
• Ministar gospodarstva pravilnikom
propisuje vrstu, sadržaj i način dostave
dokumentacije o ispunjavanju uvjeta
• Ne treba dozvola za obavljanje usluga
certificiranja
• Usluge certificiranja mogu obavljati samo
registrirani/evidentirani davatelji usluga
20
Slide 21
Uvjeti
• organizacija rada koja jamči kvalitetu
• financijska i materijalna sredstva za trajnije
izvođenje usluge certificiranja i pokrivanje šteta,
osiguranje i sl.
• Kvalificirano osoblje za tehničke poslove,
vođenje registra i zaštitu osobnih podataka
• tehničku i programsku osnovicu koja
podržava međunarodne standarde
• sustav fizičke zaštite uređaja, opreme i
podataka
• zaštitu od neovlaštenog pristupa i oštećenja
informacija
21
Slide 22
Uvjeti…
• osigurano točno utvrđivanje datuma i vremena
(sata i minute) izdavanja ili opoziva certifikata
• osiguranu provjeru identiteta potpisnika
• pouzdane mjere protiv krivotvorenja
• osiguranje od rizika moguće štete
• sustav pohrane
• sigurnosni sustav
– zaštita od neovlaštenog kopiranja, pristupa…
– dostupnost samo za odobrenu svrhu
• informiranje o točnim uvjetima korištenja
22
Slide 23
Zakon o elektroničkoj ispravi
NN 150/05
23
Slide 24
Elektronička isprava
• jednoznačno povezan cjelovit skup podataka koji su
– elektronički oblikovani (izrađeni pomoću računala i
drugih elektroničkih uređaja), poslani, primljeni ili
sačuvani na elektroničkom, magnetnom, optičkom ili
drugom mediju
– sadrži svojstva kojima se utvrđuje izvor (stvaratelj)
– utvrđuje vjerodostojnost sadržaja
– dokazuje postojanost sadržaja u vremenu
• Sadržaj elektroničke isprave uključuje sve oblike pisanog
teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.
24
Slide 25
Izvornik i kopije
• Svaki pojedinačni primjerak elektroničke isprave
koji je potpisan elektroničkim potpisom smatra
se u smislu ovoga Zakona izvornikom
• Elektronička isprava ne može imati elektroničku
presliku (presliku u elektroničkom obliku)
• Ako ista osoba izradi više isprava s istim
sadržajem, u elektroničkom obliku i na papiru, te
se isprave smatraju neovisnim
– Isprava izrađena na papiru ne smatra se preslikom
elektroničke isprave
25
Slide 26
Preslika na papiru
• Izrađuje se ovjerom ispisa vanjskog
obrasca prikaza elektroničke isprave na
papiru uz primjenu postupaka predviđenih
zakonom i drugim propisima
• Ovjeru ispisa obavljaju
– ovlaštene osobe u tijelima javne vlasti
– javni bilježnik
• Ispis na papiru mora sadržavati oznaku da
se radi o preslici elektroničke isprave
26
Slide 27
Čuvanje elektroničkih isprava
• u informacijskom sustavu ili na medijima koji omogućuju
trajnost elektroničkog zapisa za utvrđeno vrijeme
čuvanja i čine elektroničku arhivu
• u čitljivom obliku za cijelo vrijeme čuvanja dostupne
ovlaštenim osobama
• čuvaju se podaci o elektroničkim potpisima
• vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme,
način i oblik u kojem je zaprimljena u sustav na čuvanje
• pohranjene uz razumno jamstvo da ne mogu biti
mijenjane i da se ne mogu neovlašteno brisati
• postupci održavanja i zamjene medija za pohranu
elektroničkih isprava ne narušavaju cjelovitost i
nepovredivost elektroničkih isprava
27
Slide 28
Zakon o tajnosti podataka
NN 79/07
28
Slide 29
Podatak
• Dokument, odnosno svaki napisani,
umnoženi, nacrtani, slikovni, tiskani,
snimljeni, fotografirani, magnetni, optički,
elektronički ili bilo koji drugi zapis podatka,
saznanje, mjera, postupak, predmet,
usmeno priopćenje ili informacija, koja s
obzirom na svoj sadržaj ima važnost
povjerljivosti i cjelovitosti za svoga
vlasnika
29
Slide 30
Klasificirani podatak
• Podatak koji je nadležno tijelo, u
propisanom postupku, takvim označilo i za
koji je utvrđen stupanj tajnosti
• Podatak kojeg je Republici Hrvatskoj tako
označenog predala druga država ili
međunarodna organizacija
30
Slide 31
Neklasificirani podatak
• Podatak bez utvrđenog stupnja tajnosti,
koji se koristi u službene svrhe
• Podatak koji je Republici Hrvatskoj tako
označenog predala druga država,
međunarodna organizacija ili institucija s
kojom Republika Hrvatska surađuje
31
Slide 32
Klasifikacija
• Klasifikacija podatka je postupak
utvrđivanja jednog od stupnjeva tajnosti
podatka s obzirom na stupanj ugroze
• Deklasifikacija - prestanak postojanja
razloga zbog kojih je podatak klasificiran
– postaje neklasificirani s ograničenom
uporabom samo u službene svrhe
32
Slide 33
• Vlasnik podatka je nadležno tijelo u okviru
čijeg djelovanja je klasificirani ili
neklasificirani podatak nastao
• Certifikat je uvjerenje o sigurnosnoj
provjeri (osoblja) koje omogućava pristup
klasificiranim podacima
33
Slide 34
Zloporaba
• Klasificiranim podatkom ne može se
proglasiti podatak radi prikrivanja
kaznenog djela, prekoračenja ili
zlouporabe ovlasti te drugih oblika
nezakonitog postupanja u državnim
tijelima
34
Slide 35
Zakon o zaštiti tajnosti podataka
(1996.)
• Propisuje vrste tajni
– državna
– službena
– vojna
– profesionalna
– poslovna
i stupnjeve tajnosti
– vrlo tajno
– tajno
– povjerljivo
35
Slide 36
Zakon o tajnosti podataka
(2007.)
• Za klasificirane podatke određuje samo
stupnjeve tajnosti
– Vrlo tajno
– Tajno
– Povjerljivo
– Ograničeno
36
Slide 37
Uži opseg
• Klasificirati se mogu podaci iz djelokruga
državnih tijela u području obrane, sigurnosnoobavještajnog sustava, vanjskih poslova, javne
sigurnosti, kaznenog postupka te znanosti,
tehnologije, javnih financija i gospodarstva
ukoliko su od sigurnosnog interesa za RH
• Ne spominje se poslovna i profesionalna tajna
– vrijede odredbe starog zakona
– Ministarstvo pravosuđa treba prilagoditi zakone
37
Slide 38
Čl. 6. Vrlo tajno
• Podaci čije bi neovlašteno otkrivanje nanijelo
nepopravljivu štetu nacionalnoj sigurnosti i
vitalnim interesima Republike Hrvatske, a
osobito sljedećim vrijednostima:
–
–
–
–
–
–
–
temelji Ustavom utvrđenog ustrojstva RH
neovisnost, cjelovitost i sigurnost RH
međunarodni odnosi RH
obrambena sposobnost i sig-obavještajni sustav
sigurnost građana
osnove gospodarskog i financijskog sustava RH
znanstvena otkrića, pronalasci i tehnologije
od važnosti za nacionalnu sigurnost RH
38
Slide 39
Ostali stupnjevi tajnosti
• TAJNO
– podaci čije bi neovlašteno otkrivanje teško
naštetilo vrijednostima iz čl. 6.
• POVJERLJIVO
– podaci čije bi neovlašteno otkrivanje naštetilo
vrijednostima iz čl. 6.
• OGRANIČENO
– podaci čije bi neovlašteno otkrivanje naštetilo
djelovanju i izvršavanju zadaća državnih
tijela
39
Slide 40
Postupak klasificiranja
• Obavlja se pri nastanku podataka
• Prilikom periodične procjene
• Vlasnik podatka dužan je odrediti najniži
stupanj tajnosti koji osigurava zaštitu
interesa
40
Slide 41
Periodična procjena
•
•
•
•
VRLO TAJNO najmanje jednom u 5 godina
TAJNO najmanje jednom u 4 godine
POVJERLJIVO najmanje jednom u 3 godine
OGRANIČENO najmanje jednom u 2 godine
• O promjeni stupnja tajnosti ili o deklasifikaciji
podatka vlasnik će pisanim putem izvijestiti sva
tijela kojima je podatak bio dostavljen
41
Slide 42
Interes javnosti
• Vlasnik podatka dužan je ocijeniti
razmjernost između prava na pristup
informacijama i zaštite vrijednosti
• Prije donošenja odluke vlasnik podatka je
dužan zatražiti mišljenje Ureda Vijeća za
nacionalnu sigurnost
42
Slide 43
Pristup
• Pristup klasificiranim podacima
– Osobe kojima je to nužno za obavljanje posla
– Imaju izdano uvjerenje o obavljenoj
sigurnosnoj provjeri (certifikat)
• Organizacije podnose UVNS-u zahtjeve za
izdavanje certifikata za zaposlenike, koji bi
u okviru svog djelokruga trebali imati pravo
pristupa klasificiranim podacima
43
Slide 44
Trajanje certifikata
• Certifikat se izdaje, ako ne postoje
sigurnosne zapreke, na rok od pet godina
za stupnjeve
– Vrlo tajno
– Tajno
– Povjerljivo
44
Slide 45
Zakon o informacijskoj sigurnosti
NN 79/07
45
Slide 46
Opseg
• Primjenjuje se na državna tijela, tijela
jedinica lokalne i područne samouprave
te na pravne osobe s javnim ovlastima
koje u svom djelokrugu koriste
klasificirane i neklasificirane podatke
• Na pravne i fizičke osobe koje pristupaju
klasificiranim i neklasificiranim podacima
46
Slide 47
Izvan opsega
• ZIS se ne primjenjuje na IS pravnih i
fizičkih osoba koje ne dolaze u dodir s
podacima od javnog značenja
– Trgovačka društva, banke itd.
• Kod njih je primjena pravila i dobre prakse
koju ZIS propisuje dobrovoljna
47
Slide 48
Međunarodna praksa
• Upravljanje sigurnošću na razini države:
• Središnje državno tijelo za IS
– National Security Authority – NSA
• Središnje tijelo za tehnička područja IS
– National Communication Security Authority
NCSA
– ili InfoSec Authority - IA
48
Slide 49
RH
• Ured Vijeća za nacionalnu sigurnost
– UVNS - naš NSA
• Zavod za sigurnost informacijskih sustava
– ZSIS - naš NCSA, za tehnička pitanja
49
Slide 50
Informacijska sigurnost
• Stanje povjerljivosti, cjelovitosti i
raspoloživosti podataka
• Postiže se primjenom propisa i standarda
IS i organizacijskom podrškom
• Mjere IS su pravila zaštite podataka na
fizičkoj, tehničkoj i organizacijskoj razini
50
Slide 51
Područja IS
•
•
•
•
•
Provjere osoblja
Fizička sigurnost
Sigurnost podataka
Sigurnost informacijskih sustava
Sigurnost vanjske suradnje
– industrijska sigurnost
51
Slide 52
Akreditacija
• Sigurnosna akreditacija informacijskog
sustava je postupak utvrđivanja
osposobljenosti tijela i pravnih osoba za
upravljanje sigurnošću informacijskih
sustava
52
Slide 53
Mjere i standardi
• informacijske sigurnosti propisati će se
vladinom Uredbom
• Standardi za provedbu mjera propisat će
se pravilnicima koje donose čelnici
središnjih državnih tijela za informacijsku
sigurnost
53
Slide 54
UVNS
• Donosi pravilnike o standardima za 5
područja IS
• Koordinacija u primjeni mjera i donošenje
standarda IS u tijelima javne vlasti
• Primjena mjera i standarda IS u razmjeni
klasificiranih podataka između RH i stranih
zemalja i organizacija
• Vršno tijelo za nacionalni normizacijski
proces
54
Slide 55
Nadležnost ZSIS-a
• Središnje državno tijelo za tehnička
područja IS
– Standardi sigurnosti IS
– Sigurnosne akreditacije IS
– Upravljanje kriptomaterijalima u razmjeni
klasificiranih podataka
– Koordinacija prevencije i odgovora na ugroze
sigurnosti IS
55
Slide 56
Nacionalni CERT
• Novo nacionalno tijelo za prevenciju i
odgovor na računalne ugroze
• Izrasta iz CARNetova CERT-a
• Prevencija (sigurnosna upozorenja)
• Postupanja u slučaju incidenta
56
Slide 57
Provedba
• Obveza provođenja propisanih standarda
IS temeljem pravilnika koje donose UVNS
i ZSIS
• U tijelima javne vlasti koji nemaju IT
službe, nadležan je SDUeH koji koristi
usluge tijela za potporu IT sustava
• U okviru obrazovnog i akademskog
sektora nadležno je MZOŠ koje koristi
usluge CARNeta i Srca
57
Slide 58
Nadzor
• Nadzor organizacije, provedbe, stanja i
učinkovitosti propisanih mjera i standarda
• Nadzor provode savjetnici za informacijsku
sigurnost
• UVNS će propisati kriterije za ustrojavanje
radnih mjesta
58
Slide 59
Prateći pravilnici
• Zakon zadaje rokove za donošenje
pravilnika koji će konkretizirati zahtjeve i
propisati mjere i standarde informacijske
sigurnosti
59
Slide 60
Uredba o mjerama
informacijske sigurnosti
NN 46/08
60
Slide 61
Čl. 1.
• Uredbom se utvrđuju mjere informacijske
sigurnosti za postupanje s klasificiranim i
neklasificiranim podacima.
• Primjenjuje se na državna tijela, tijela
jedinica lokalne i područne samouprave, te
na pravne osobe s javnim ovlastima
• Na pravne i fizičke osobe koje pristupaju
klasificiranim i neklasificiranim
podacima
61
Slide 62
Čl. 2. - Definicije
• Klasificirani ugovor – kojim se
razmjenjuju klasificirani podaci
• Kriptomaterijali – kriptografski proizvodi i
podaci, programska rješenja ili uređaji za
zaštitu podataka, tehnička dokumentacija,
ključevi
• Opća razina zaštite – skup mjera i
standarda propisan za stupnjeve tajnosti
62
Slide 63
Akreditacija
• Sigurnosna akreditacija sustava registrara
– utvrđivanje da li su primijenjene mjere i
standardi IS propisane za
– Organizaciju rada
– Osoblje
– Prostor
– Informacijske sustave
– Klasificirane podatke
63
Slide 64
• Ugroza (prijetnja) – potencijalni uzrok koji
može nanijeti štetu klasificiranom podatku
ili informacijskom sustavu
• Upravljanje rizikom IS – sustavan pristup
koji uključuje planiranje, organiziranje i
usmjeravanje aktivnosti, da bi rizici za
klasificirane podatke ostali u utvrđenim i
prihvatljivim okvirima
64
Slide 65
Pristup klasificiranim podacima
• Vrlo tajno, Tajno i Povjerljivo
– osoba koja je certificirana
• Ograničeno
– osoba upoznata s načinom postupanja s
klasificiranim podacima
– nužno za obavljanje posla
– temeljem ovlasti čelnika
65
Slide 66
Razmjena
• Klasificiran podatak može se dostavljati drugim
tijelima i pravnim osobama samo uz prethodnu
suglasnost vlasnika podatka
• Samo s državama i međunarodnim org. koje su
potpisale ugovor o uzajamnoj zaštiti kl.pod.
• Iznimno unutar međunarodne suradnje koja
uključuje razmjenu klasificiranih podataka
• Evidenciju ugovora vodi UVNS
66
Slide 67
Neklasificirano
• Bez oznake
– nema ograničenja uporabe i pristupa
– javni podaci (cjelovitost i dostupnost)
• Oznaka neklasificirano
– samo u službene svrhe
– dostupan samo fizičkim osobama, tijelima i
pravnim osobama koje imaju potrebu
korištenja radi obavljanja posla
• non-classified, unclassified
67
Slide 68
Mjere zaštite
• Za zaštitu neklasificiranih podataka
– ISO 27001
– ISO 17799 -> 27002
• Za oznaku Ograničeno
– Isto, uz dodatne mjere
• Savjetnik za informacijsku sigurnost
redovito provjerava usklađenost
informacijskog sustava s propisanim
normama, mjerama i standardima IS
68
Slide 69
Ujednačenost zaštite
• Tijela i pravne osobe koje postupaju s
klasificiranim i neklasificiranim podacima
primjenjuju propisane mjere informacijske
sigurnosti radi osiguravanja ujednačene
razine zaštite
69
Slide 70
Mjere IS
•
Za područja IS
1.
2.
3.
4.
5.
Sigurnosna provjera
Fizička sigurnost
Sigurnost podataka
Sigurnost informacijskog sustava
Sigurnost poslovne suradnje
70
Slide 71
Sigurnosna provjera
• Popis dužnosti i poslova za koje je potrebno
uvjerenje o sigurnosnoj provjeri
• Postupak za izdavanje certifikata
• Upitnik za sigurnosnu provjeru
• Pisana suglasnost osobe koju se provjerava
• Izdavanje certifikata
• Sigurnosno informiranje
• Nacionalni registar izdanih, odbijenih certifikata,
potpisanih izjava
• Registar zaprimljenih certifikata i potpisanih
izjava o postupanju s klasificiranim podacima
71
Slide 72
• Sve osobe koje imaju pristup klasificiranim
podacima dužne su najmanje jednom
godišnje pristupati sigurnosnom
informiranju o propisanim mjerama i
standardima IS
• Potpisati izjavu o postupanju s
klasificiranim podacima
72
Slide 73
Sigurnosno informiranje
• UVNS za pristup stupnjevima Vrlo tajno,
Tajno i Povjerljivo
• Ograničeno
– Savjetnici za informacijsku sigurnost
– Ili drugi sigurnosni koordinatori koje tijela ili
pravne osobe odrede
73
Slide 74
Fizička sigurnost
• Lokacije u kojima se čuvaju ili obrađuju
klasificirani podaci štite se mjerama fizičke
sigurnosti
• Radi:
– Sprečavanja neovlaštenog ulaska
– Sprečavanja zloporaba zaposlenika
– Razdvajanja zaposlenika prema ovlastima
– Otkrivanja sigurnosnih ugroza i reakcija
74
Slide 75
Mjere fizičke sigurnosti
•
•
•
•
•
•
•
•
•
•
višestruka zaštita
sigurnosne zone
administrativne zone
plan fizičke sigurnosti
procjena učinkovitosti mjera fizičke sigurnosti
kontrola osoba
pohrana klasificiranih i neklasificiranih podataka
tehnički sigurni prostori
fizička sigurnost informacijskih sustava
oprema za fizičku zaštitu klasificiranih podataka
75
Slide 76
Sigurnosne zone
• Prostori u kojima se čuvaju klasificirani
podaci stupnjeva Vrlo tajno, Tajno i
Povjerljivo ustrojavaju se kao sigurnosna
zona I ili II
• Zona I je jasno označen i zaštićen prostor
s kontrolom pristupa samo osobama koje
imaju certifikat i ovlaštenje
• Zona II – pristup dozvoljen uz pratnju i
nadzor kada postoji opravdan razlog
76
Slide 77
Administrativne zone
• Klasificirani podaci oznake Ograničeno i
Neklasificirano
• Vidljivo označen prostor s kontrolom
pristupa osoba i vozila
77
Slide 78
…
• Plan fizičke sigurnosti
• Procjena učinkovitosti mjera fizičke
sigurnosti
• Kontrola osoba
• Fizička sigurnost informacijskih sustava
– Unutar sigurnih zona
78
Slide 79
Pohrana
• Pohrana klasificiranih podataka u sigurnim
zonama
• Vrlo tajno
– Sigurnosni spremnik s detekcijom neovlaštenog
pristupa
– Stalna zaštita uz periodični nadzor
• Tajno
– Sigurnosni spremnik ili prostor za otvorenu pohranu
uz stalnu zaštitu
• Povjerljivo – sigurnosni spremnik
• Ograničeno i neklasificirano – zaključano u
uredskom namještaju
79
Slide 80
Sigurnost podataka
• Mjere
– Klasificiranje i deklasificiranje
– Označavanje podataka
– Pristup podacima
– Zaštita podataka
– Sustav registrara
– Evidencija korištenja
– Postupanje u izvanrednim situacijama
– Ustupanje klasificiranih podataka
80
Slide 81
Sigurnost informacijskih sustava
• Mjere
– Mjere zaštite informacijskog sustava
– Upravljanje sviješću o sigurnosti
– Planiranje djelovanja u izvanrednim
okolnostima
81
Slide 82
• Mjere zaštite informacijskog sustava
– Zaštita hardvera, softvera i medija
– Upravljanje konfiguracijom i sustavom
korisničkog pristupa
– Kontrola povezivanja i uporabe IS
– Zaštita od rizika elektromagnetskog zračenja
– Primjena kriptografske zaštite
82
Slide 83
Sigurnost poslovne suradnje
• Mjere
– Sklapanje klasificiranih ugovora
– Razmatranje sigurnosnih aspekata u svim
fazama životnog ciklusa IS
– Definiranje odgovornosti za provedbu svake
od mjera
– Redovita kontrola provedbe
83
Slide 84
Certifikat poslovne sigurnosti
• Pravne osobe koje sudjeluju u
međunarodnim klasificiranim ugovorima
podnose UVNS-u zahtjev iz izdavanje
certifikata
• Ugovor UVNS-a i pravne osobe
• Sigurnosna provjera pravne osobe
– Provjera strukture vlasništva
– Provjera osoblja koje će pristupati kl. pod.
– Provjera savjetnika za informacijsku sigurnost
84
Slide 85
Upravljanje rizikom
• Procjena rizika
– popis prijetnji
– prioriteti prijetnji
• Obrada rizika
– prihvaćanje rizika
– smanjivanje rizika primjenom kontrola
– prebacivanje rizika na treću stranu
85
Slide 86
Nadzor
• Nadzor mjera i standarda IS
• U tijelima i pravnim osobama koje koriste
– klasificirane i neklasificirane podatke
• savjetnici za informacijsku sigurnost
– klasificirane podatke
• UVNS
– vrlo tajno, tajno, povjerljivo - najmanje jednom u 2 god.
– ograničeno - najmanje jednom u 4 god.
86
Slide 87
87
Slide 88
Zakon o zaštiti osobnih podataka
NN 103/03
Dopune
NN 41/08
88
Slide 89
Zaštita privatnosti građana
• Relativno nova civilizacijska i pravna
stečevina
• Filozofske teze
– Na pr. Sokratov daimon
• Pravno izvorište kodificirano
međunarodnim konvencijama
89
Slide 90
• Opća konvencija Ujedinjenih naroda
o ljudskim pravima (1948.).
“Nitko ne smije biti izvrgnut samovoljnom
miješanju u njegov/njezin privatni život, obitelj,
dom i prepisku, niti napadima na njegovu/njezinu
čast i ugled.”
• Evropska konvencija o ljudskim
pravima (1950.).
90
Slide 91
Aspekti privatnosti
•
•
•
•
•
Tjelesna privatnost
Prostorna privatnost
Informacijska privatnost
Komunikacijska privatnost
Medijska privatnost
91
Slide 92
Domaći pravni izvori
• Ustav Republike Hrvatske
– Čl. 23. - fizička zaštita pojedinca
– Čl. 34. - nedopušteno miješanje u
obiteljsko i drugo okruženje
– Čl. 37. - tajnost i zaštita osobnih
podataka
92
Slide 93
Kazneni zakon
• Čl. 130. - povreda tajnosti pisama i drugih
pošiljaka
• Čl. 131. - neovlašteno snimanje i
prisluškivanje
• Čl. 132. - neovlašteno otkrivanje
profesionalne tajne
• Čl. 133. - nedozvoljena uporaba osobnih
podataka
93
Slide 94
Kazneni zakon
• Čl. 130. - povreda tajnosti pisama i drugih
pošiljaka
• Čl. 131. - neovlašteno snimanje i
prisluškivanje
• Čl. 132. - neovlašteno otkrivanje
profesionalne tajne
• Čl. 133. - nedozvoljena uporaba osobnih
podataka
94
Slide 95
Drugi propisi
• Reguliraju dodirna područja:
1.
2.
3.
4.
5.
6.
7.
Zakon o radu
Zakon odgovornosti pravnih osoba za kaznena djela
Zakon o telekomunikacijama
Zakon o elektroničkoj trgovini
Zakon o zaštiti potrošača
Zakon o pravu na pristup informacijama
Zakon o potvrđivanju Konvencije o kibernetičkom
kriminalu
8. EU Directive on Privacy and Electronic
Communications (E- Privacy Directive 2002) i t.d.
95
Slide 96
Zakon o zaštiti osobnih podataka
• Uređuje se zaštita osobnih podataka o
fizičkim osobama te nadzor nad
prikupljanjem, obradom i korištenjem
osobnih podataka u Republici Hrvatskoj
96
Slide 97
Osobni podatak
• Svaki podatak koji se odnosi na
identificiranu fizičku osobu ili fizičku osobu
(ispitanik) koja se može identificirati
• Identitet se može utvrditi izravno ili
neizravno, posebno na osnovi
identifikacijskog broja ili jednog ili više
obilježja specifičnih za njezin fizički,
psihološki, mentalni, gospodarski, kulturni
ili socijalni identitet.
97
Slide 98
Obrada osobnih podataka
• Svaka radnja izvršena na osobnim podacima,
bilo automatskim sredstvima ili ne, prikupljanje,
snimanje, organiziranje, spremanje, prilagodba
ili izmjena, povlačenje, uvid, korištenje,
otkrivanje putem prijenosa, objavljivanje ili na
drugi način učinjenih dostupnim, svrstavanje ili
kombiniranje, blokiranje, brisanje ili
uništavanje, te provedba logičkih, matematičkih
ili drugih operacija s tim podacima
98
Slide 99
Zbirka osobnih podataka
• Svaki skup osobnih podataka koji je
dostupan prema posebnim kriterijima, bilo
centraliziranim, decentraliziranim ili
raspršenim na funkcionalnom ili
zemljopisnom temelju i bez obzira na to da
li je sadržan u računalnim bazama osobnih
podataka ili se vodi temeljem drugih
tehničkih pomagala ili ručno
99
Slide 100
Voditelj zbirke osobnih podataka
• Fizička ili pravna osoba, državno ili drugo
tijelo koje utvrđuje svrhu ili način obrade
osobnih podataka
• Kada je svrha i način obrade propisan
zakonom, istim se zakonom određuje i
voditelj zbirke osobnih podataka
100
Slide 101
Izvršitelj obrade
• Voditelj zbirke može u svezi s obradom
ugovorom pojedine poslove iz svog
djelokruga povjeriti drugoj fizičkoj ili
pravnoj osobi – izvršitelju obrade
101
Slide 102
Korisnik
• je fizička ili pravna osoba, državno ili
drugo tijelo kojem se osobni podaci mogu
dati na korištenje radi obavljanja redovitih
poslova u okviru njegove zakonom
utvrđene djelatnosti
102
Slide 103
Privola ispitanika
• Slobodno dano i izričito očitovanje volje
ispitanika kojom on izražava svoju
suglasnost s obradom njegovih podataka
u određene svrhe
103
Slide 104
Prikupljanje
• Osobni podaci smiju su prikupljati samo
– uz privolu ispitanika
– u slučajevima predviđenim zakonom
• Mogu se prikupljati jedino u svrhu s kojom je
ispitanik upoznat i koja je izričito navedena
• Osobni podaci moraju biti bitni za postizanje
određene svrhe i ne smiju se prikupljati u
opsegu većem nego što je nužno
104
Slide 105
Obrada…
• Osobni podaci moraju biti točni, potpuni, ažurni
• Osobni podaci moraju se čuvati u obliku koji
dopušta identifikaciju ispitanika ne duže no što
je potrebno za svrhu za koju su prikupljani
• Smiju se obrađivati samo u svrhu za koju je
ispitanik dao privolu
• Voditelj zbirke podataka smije obrađivati
osobne podatke samo uz uvjete utvrđene
Zakonom o zaštiti osobnih podataka i za to
odgovara
105
Slide 106
Obrada…
• Ispitanik ima pravo u svako doba
odustati od dane privole i zatražiti
prestanak daljnje obrade
• Ispitanik ima pravo usprotiviti se obradi
osobnih podataka u svrhe marketinga
• Osobni podaci se bez privole ispitanika
smiju obrađivati za potrebe povijesne,
statističke ili znanstvene svrhe, ako su
prije toga depersonalizirani
106
Slide 107
Posebne kategorije osobnih
podataka
Zabranjeno je prikupljanje i daljnja obrada
podataka koji se odnose na:
- rasno ili etičko podrijetlo
- politička stajališta
- vjerska ili druga uvjerenja
- sindikalno članstvo
- zdravlje ili spolni život
- kazneni ili prekršajni postupak
107
Slide 108
Iznimka
• Zabrana se ne odnosi na obrade u okviru
ustanove, udruženja ili drugog neprofitnog
tijela s političkom, vjerskom ili drugom
svrhom pod uvjetom da se obrada odnosi
isključivo na njihove članove te da podaci
ne budu otkriveni trećoj strani bez
prethodnog pristanka ispitanika
108
Slide 109
Zaštita ispitanika
• Voditelj obrade dužan je u roku od 30
dana na zahtjev ispitanika:
1. Dostaviti potvrdu da li se osobni podaci
ispitanika obrađuju ili ne
2. Obavijestiti u razumljivom obliku o podacima
čija je obrada u tijeku i o izvoru tih podataka
3. Omogućiti uvid u evidenciju zbirke osobnih
podataka i uvid u osobne podatke
109
Slide 110
Prava ispitanika…
4. Dostaviti izvatke, potvrde ili ispise osobnih
podataka (ispitanika) s naznakom svrhe i
pravnog temelja prikupljanja, obrade i
korištenja tih podataka
5. Dostaviti ispis podataka o tome tko je i za
koje svrhe i po kojoj pravnoj osnovi dobio
na korištenje podatke (ispitanika)
6. Dati obavijest o logici automatske obrade
podataka (ispitanika)
110
Slide 111
Prava ispitatnika…
7. Na zahtjev ispitanika ili ako sam uoči da su
podaci nepotpuni, netočni ili neažurni Voditelj
obrade dužan je dopuniti, izmijeniti ili brisati
nepotpune, netočne ili neažurne podatke
8. O izvršenoj dopuni, izmjeni ili brisanju
nepotpunih, netočnih ili neažurnih podataka
Voditelj obrade dužan je u roku od 30 dana
izvijestiti osobu na koju se podaci odnose
9. Unaprijed obavijestiti ispitanika o namjeravanoj
obradi osobnih podataka u svrhe marketinga
111
Slide 112
Kaznene odredbe
•
Novčanom kaznom od 20.000,00 do
40.000,00 kn kaznit će se:
1. Izvršitelj obrade koji prekorači granice svojih
ovlasti
2. Voditelj zbirke koji ne uspostavi evidenciju
3. Voditelj zbirke koji ne osigura zaštitu
4. Voditelj zbirke koji onemogući Agenciju u
nadzoru
112
Slide 113
UREDBA
o načinu pohranjivanja i
posebnim mjerama tehničke
zaštite posebnih kategorija
osobnih podataka
NN 139/04
113
Slide 114
Definicije
• Sustav za vođenje zbirke osobnih
podataka sastoji se od
– računalne
– telekomunikacijske
– upravljačke i programske opreme
– osobnih podataka
114
Slide 115
Računala
• Računalo za vođenje zbirke - ugrađena
upravljačka i programska oprema sustava za
vođenje zbirke osobnih podataka
• Središnje računalo zbirke - ugrađena
upravljačka i programska oprema za obradu i
pohranu zbirke osobnih podataka
• Razvojno računalo - upravljačka i programska
oprema u razvitku, oprema koja se provjerava,
te jednaka opremi ugrađenoj u računala za
vođenje zbirke
– Razvoj i testiranje
115
Slide 116
Admini
• Administrator zbirke brine o sustavu za
upravljanje zbirkama osobnih podataka i o svim
vidovima osiguranja i pohranjivanja podataka
• Administrator mrežnog sustava brine o TK
opremi, pristupnim putevima, mreži, modemskim
i drugim vezama između računalnih sustava
• Administrator upravljačkog sustava osoba
ovlaštena brinuti o ugradnji i ispravnom radu
upravljačkog sustava
116
Slide 117
UPS
• Uređaj za neprekidno napajanje
omogućava nastavak rada nakon
nestanka el. energije, tako da se poslovi u
tijeku mogu završiti bez opasnosti za
cjelovitost informacija
117
Slide 118
Backup & Restore
• Pohranjivanje podataka je postupak
pohranjivanja sigurnosnog primjerka
podataka za slučaj gubitka, oštećenja ili
uništenja podataka
• Povrat pohranjenih podataka je
postupak vraćanja podataka u prethodno
stanje sa sigurnosnog primjerka
– vraćeni podaci moraju biti u posljednjem
sukladnom stanju i bez gubitka informacija
118
Slide 119
Oporavak sustava
• Obnavljanje rada računalnog sustava je
skup postupaka za povratak računalnog
sustava i svih započetih poslova u
posljednje sukladno stanje tog sustava.
• Ponovno uključivanje sustava u rad je
skup postupaka za uključivanje
računalnog sustava u rad nakon
neuobičajenog prekida rada tog sustava.
119
Slide 120
Modemski ulazi
• Modemski priključci za pristup sustavu
ne objavljuju se u telefonskim imenicima i
ne smiju biti dostupni preko službe za
davanje telefonskih brojeva.
120
Slide 121
Projekt
• Smještanje, postavljanje i ugradnja
računala i računalne mreže postavlja i
ugrađuje stručna osoba uz odobrenje
voditelja zbirke, u skladu s važećim
normama, standardima i tehničkim
uputama, prema projektu
121
Slide 122
Projektna dokumentacija
• Po jedan primjerak projektne
dokumentacije čuva se u radnim
prostorijama
– voditelja zbirke osobnih podataka
– izvršitelja obrade (ukoliko postoji)
– dostavlja na uvid Agenciji za zaštitu
osobnih podataka
122
Slide 123
Zaštite
• Računalo za vođenje zbirki i središnje
računalo mora biti opremljeno:
– mehanizmom za sigurnosno
prijavljivanje za rad s mogućnošću
pohrane podataka o prijavljivanju
– mehanizmom za sprečavanje
neovlaštenog iznosa i unosa
podataka uporabom prijenosnih medija,
komunikacijskih priključaka i priključaka
za ispis podataka
123
Slide 124
Zaštite
• Mehanizmom zaštite od računalnih
virusa i drugih štetnih programa
• Mehanizmom kriptološkog osiguranja
podataka na prijenosnim medijima i u
toku prijenosa podataka informatičkim i
telekomunikacijskim sustavima
124
Slide 125
Pristup opremi
• Računalna i telekomunikacijska oprema
postavlja se i ugrađuje u posebno
zaštićene prostorije određene projektom
• Smiju ulaziti samo ovlaštene osobe
• Voditelj zbirke ili izvršitelj obrade uz
suglasnost voditelja određuje ovlaštene
osobe
125
Slide 126
Fizička sigurnost
• Prostorije s opremom moraju biti
opremljene sustavom video nadzora i
elektroničkim dvostranim sustavom za
kontrolu prolaza
126
Slide 127
Pristup podacima
• Pristup podacima dozvoljen je
ovlaštenim zaposlenicima i ovlaštenim
osobama zaduženim za održavanje i
razvitak sustava (u daljnjem tekstu:
ovlašteni stručnjaci)
• Ovlaštenja dodjeljuje voditelj zbirke, ne
voditelj obrade
127
Slide 128
ID
• Pristup podacima dozvoljen je uporabom
dodijeljenoga jedinstvenog korisničkog
imena i propusnice
• Ukinuto korisničko ime ne smije se
dodijeliti drugoj osobi
• Korisničko ime i pripadna propusnica ne
smiju se odati i dati na uporabu drugoj
osobi
128
Slide 129
IDS
• Svaki pokušaj neovlaštenog pristupa
sustavu mora biti automatski zabilježen
korisničkim imenom, nadnevkom i
vremenom, a ako je moguće i mjestom s
kojeg je pristup pokušan
• Izvršitelj obrade, administratori mreže,
računala i zbirke, dužni su obavijestiti
čelnika voditelja zbirke OP o svakom
pokušaju neovlaštenog pristupa sustavu
129
Slide 130
Zaštita od požara
• Oprema mora biti smještena u
prostorijama koje imaju uređaje za
otkrivanje požara i automatsku dojavu
• Moraju imati uređaje za automatsko
gašenje požara
• Na lako uočljivim mjestima moraju biti
izvješene upute o postupcima u slučaju
izbijanja požara
130
Slide 131
Zračenja
• U blizini računalne i telekomunikacijske
opreme ne smije biti izvora
– jakog električnog ili magnetskog polja
– ionizirajućeg zračenja
– elektrostatičkog elektriciteta
131
Slide 132
Klima
• Mora se održavati
– relativna vlažnost zraka 20 - 80%
– temperatura između 5 i 30°C
132
Slide 133
Opasne tvari
• U prostorijama s opremom i u blizini ne
smiju se nalaziti nagrizajuće i lakohlapljive
tekućine, eksplozivna sredstva i slične
opasne ili štetne tvari
133
Slide 134
Prašina
• Odstraniti uređaje koji u zrak ispuštaju
čestice prašine
• Osjetljivi uređaji koji se hlade zrakom,
moraju imati filtere za zrak
• Uređaji za koje je to dopušteno tehničkim
uputama moraju se pokrivati zaštitnim
pokrovima kada nisu u uporabi
134
Slide 135
Rezervni položaj
• U slučaju potresa i drugih elementarnih
nepogoda, rata i neposredne ratne
opasnosti voditelj zbirke dužan je odrediti
premještanje računalno-komunikacijske
opreme na predviđeno sigurno mjesto
135
Slide 136
Backup
• Voditelj zbirke je dužan pohranjivati
podatke na prenosive medije uporabom
metoda koje jamče sigurnost i tajnost
tako pohranjenih osobnih podataka
• Za provedbu mjera pohranjivanja
podataka odgovaraju administratori
zbirki OP
136
Slide 137
Pohrana
• Podaci se pohranjuju dnevno, tjedno,
mjesečno i godišnje
• dnevni backup sprema se u sef u radnoj
prostoriji voditelja zbirke
• tjedni backup sprema se na sigurno
mjesto udaljeno najmanje 20 km
• mjesečni i godišnji - najmanje 50 km
137
Slide 138
Backup lokacija
• Mjesto spremanja podataka na
prenosivim medijima mora biti osigurano
od elementarnih nepogoda
• Prenosivi mediji moraju biti spremljeni u
vodootporni i vatrootporni sef
• Za prenošenje medija koriste se
vodootporni i vatrootporni kovčezi
zaštićeni šifrom
138
Slide 139
Provjere
• Godišnja kopija zbirke provjerava se
najmanje jednom godišnje uz provjeru
postupka povrata zbirki
• Mediji se moraju obnoviti nakon isteka
polovice zajamčenog roka trajanja zapisa na
toj vrsti medija.
• Uporabljivost mjesečne kopije provjerava se
najmanje svakih šest mjeseci
• Za provedbu mjera osiguranja, pohranjivanja i
zaštite osobnih podataka odgovara
administrator zbirki osobnih podataka
139
Slide 140
Ovlaštenja
• Voditelj zbirke određuje
– osobe ovlaštene za iznošenje
podataka na prenosivim medijima i
njihovo vraćanje
– osobe ovlaštene za dodjeljivanje i
uklanjanje korisničkih imena i
propusnica
140
Slide 141
Potpis
• Voditelj zbirke ustrojava sustav
kriptološkog osiguranja podataka u
prijenosu
• Podaci moraju biti kriptološki osigurani i
ovjereni uporabom elektroničkog
potpisa koji primatelju omogućuje
provjeru izvornosti primljenog izvatka
141
Slide 142
Provjera potpisa
• Primatelji izvatka iz zbirki posebnih
kategorija osobnih podataka dužni su
prilikom primitka izvatka provjeriti
izvornost uporabom javnog ključa
pošiljatelja.
• O primljenim izvacima bez potvrde
izvornosti primatelj je dužan bez odgode
obavijestiti voditelja zbirki osobnih
podataka
142
Slide 143
Provjere
• Voditelj zbirke osobnih podataka tjedno,
mjesečno i godišnje provjerava rad svih
dijelova sustava
• Mjere, postupci i osobe ovlaštene za
osiguranje, pohranjivanje i zaštitu sustava
određuju se, ostvaruju i provjeravaju
prema planu kojeg donosi voditelj
zbirke osobnih podataka u skladu s
međunarodnim preporukama (ISO 17799)
143
Slide 144
Održavanje
• Računalnu, telekomunikacijsku i
programsku opremu održava osoba
određena ugovorom o nabavi opreme ili
drugim odgovarajućim ugovorom ovlašteni stručnjak
144
Slide 145
Središnji registar
• Aplikacija središnjeg registra evidencija
zbirki osobnih podataka mjesto je na koje
voditelji zbirki trebaju prijaviti svoje zbirke
osobnih podataka i opisati ih prema
zadanim pravilima
• http://registar.azop.hr/
145
Slide 146
Opis zbirke
• Parametri koji opisuju zbirku osobnih
podataka:
• Opći podaci o zbirci
• Prava ispitanika
• Podaci o svakom atributu
146
Slide 147
Opći podaci
• naziv zbirke, status, način obrade, datum
uspostave, voditelj, izvršitelji obrade, svrha
obrade, čime je određena svrha obrade,
pravni temelj uspostave zbirke, način
dobivanja privole ispitanika, inozemni
korisnici, mjere zaštite podataka
147
Slide 148
Prava ispitanika
• kontakt osoba, u kojem obliku zahtjev
mora biti predan, administrativni preduvjeti
koji olakšavaju obradu zahtjeva, plaćanje
naknade, zakon kojim je propisano
plaćanje naknade
148
Slide 149
Koraci
• Imenovanje osobe koja će upisivati i
ažurirati podatke o zbirkama osobnih
podataka u aplikaciji Središnjeg registra
• Alias [email protected]
(dekan, kadrovik, AZOP-admin…)
149
Slide 150
Dopune
• Nisu obvezni u Središnji registar dostaviti
evidencije koje vode na temelju propisa iz
područja radnog prava
– Voditelji zbirki OP koji zapošljavaju do 5
zaposlenika
– Oni koji su imenovali službenika za zaštitu
osobnih podataka i o tome izvijestili AZOP
• Odvajanje upravljačke i nadzorne funkcije
150
Slide 151
Nadzor zaštite
• Nadzor nad provedbom odredbi ove
Uredbe obavlja Agencija za zaštitu
osobnih podataka.
• http://www.azop.hr
151
Slide 152
Rokovi
• Uredba stupila na snagu 8.10.2004.
• Voditelji zbirki OP i izvršitelji obrade dužni
su u roku od šest mjeseci od dana
stupanja na snagu uskladiti mjere,
sredstva i uvjete osiguranja, pohranjivanja
i zaštite podataka s odredbama Uredbe
• Rok je prošao 8.4.2005.
152
Slide 153
Za daljnje čitanje
• Smjernice HNB za upravljanje
informacijskim sustavom u cilju smanjenja
operativnog rizika
– ožujak 2006.
• Odluka HNB o primjerenom upravljanju
informacijskim sustavom
– 17.7.2007
• ISO 27001, ISO 27002 (17799)
153
Zakonska regulativa
informacijske sigurnosti
Aco Dmitrović @hgi-cgs.hr
1
Slide 2
2
Slide 3
Vrijedi za sve organizacije
• Zakon o elektroničkom potpisu (NN 10/02)
• Zakon o elektroničkoj ispravi (NN 150/05)
• Zakon o zaštiti osobnih podataka
(NN 103/03)
– Uredba o načinu pohranjivanja i posebnim
mjerama tehničke zaštite posebnih kategorija
osobnih podataka (NN 139/04)
• Zakon o pravu na pristup informacijama
(NN 172/03)
3
Slide 4
TDV i lokalne samouprave
•
•
•
•
Zakon o sigurnosno-obavještajnom sustavu (NN 32/02)
Zakon o sigurnosnim službama (NN 32/02)
Zakon o tajnosti podataka (NN 79/07)
Zakon o informacijskoj sigurnosti (NN 79/07)
– Uredba o mjerama informacijske sigurnosti (NN 46/08)
– Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima
(NN 72/07)
– Uredba o načinu označavanja klasificiranih podataka, sadržaju i
izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o
postupanju s klasificiranim podacima (NN 102/07)
– Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za
informacijsku sigurnost (NN 100/08)
4
Slide 5
Banke i kreditne organizacije
• Odluka o primjerenom upravljanju informacijskim
sustavom (HNB, NN 80/07)
• Smjernice za adekvatno upravljanje rizikom
eksternalizacije (HNB listopad 2005.)
• Smjernice za upravljanje informacijskim
sustavom u cilju smanjenja operativnog rizika
(HNB ožujak 2006.)
• Smjernice za ovladavanje rizikom informacijskog
sustava u kreditnim unijama (HNB studeni 2007)
5
Slide 6
Ostale financijske institucije
• Pravilnik o detaljnom obliku i najmanjem
opsegu te sadržaju revizorskog pregleda i
revizorskog izvješća društava za
osiguranje (NN 76/06)
• Pravilnik o uvjetima za obavljanje poslova
ovlaštenog društva (NN 14/07)
• Pravilnik kojim se uređuje poslovanje
društva za upravljanje investicijskim
fondovima (NN 25/07)
6
Slide 7
Djelomično…
• Kazneni zakon (110/97)
• Zakon o obveznim odnosima (NN 35/5)
• Zakon o arhivskom gradivu i arhivima
(NN 105/97)
• Zakon o zaštiti i spašavanju (NN 174/04)
• Zakon o elektroničkoj trgovini (NN 173/03)
7
Slide 8
Zakon o zaštiti i spašavanju
• NN 174/04 Čl. 18 Pravne osobe dužne su
organizirati zaštitu i spašavanje od prijetnji i
posljedica nesreća, većih nesreća i katastrofa i
provoditi pripreme, poduzimati mjere
pripravnosti i aktivnosti u katastrofama i
otklanjanju posljedica te izvršavati druge obveze
propisane ovim Zakonom, drugim propisima i
svojim općim aktima
• IT: Business Continuity Management
8
Slide 9
Kazneni zakon
• NN 110/97, izmjene i dopune (NN: 27/98,
129/00, 51/01,105/04 i 84/05)
• 2004. dodana kaznena djela cyber-kriminala
• čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti
računalnih podataka, programa ili sustava
– Odredbe Konvencije o kibernetičkom kriminalitetu o
tajnosti, nepovredivosti i dostupnosti podataka
spremljenih na računalima i samih računala
– Kazneni progon se vrši po službenoj dužnosti
– Za inform. sigurnost relevantni članci 223 i 224
9
Slide 10
Zakon o obveznim odnosima
• NN 35/05 Uređuje osnove obveznih odnosa
(opći dio) te ugovorni i izvan ugovorni obvezni
odnosi (posebni dio)
• Ne sadrži kazne
– nepoštivanje dovodi do odgovornosti za štetu
– neka ponašanja mogu predstavljati kazneno djelo
(npr. prijevara)
• Za informacijsku sigurnost relevantan čl. 293.
10
Slide 11
Zakon o arhivskom gradivu
i arhivima
• NN 105/97
• Arhivsko je gradivo od interesa za
Republiku Hrvatsku i ima njezinu osobitu
zaštitu
• Arhivsko i registraturno gradivo zaštićeno
je bez obzira na to u čijem je vlasništvu ili
posjedu, te je li registrirano ili evidentirano
11
Slide 12
• Registraturno gradivo je cjelina zapisa nastalih
djelovanjem pravne ili fizičke osobe
• Arhivsko gradivo nastaje odabirom iz
registraturnog gradiva
– od trajnog značenja za kulturu, povijest i druge
znanosti
• Arhivi su ustanove za čuvanje, zaštitu, obradu i
korištenje AG
• Pismohrana je ustrojstvena jedinica u kojoj se
čuva AG do predaje nadležnom arhivu
12
Slide 13
Hrvatski državni arhiv
• Vodi registar arhivskih fondova i zbirki
• Vodi upisnik svih arhiva i vlasnika
arhivskog gradiva
• S ostalim arhivama
– Provodi mjere zaštite AG i brine za njegovu
sigurnost
– Obavlja stručni nadzor
– Obavlja sigurnosno i zaštitno snimanje,
restauratorske i konzervatorske poslove
13
Slide 14
Zakon o elektroničkom potpisu
NN 10/02
14
Slide 15
• Elektronički potpis – skup podataka u
elektroničkom obliku koji su pridruženi ili su
logički povezani s drugim podacima u
elektroničkom obliku i koji služe za
identifikaciju potpisnika i vjerodostojnosti
potpisanoga elektroničkog dokumenta
• Napredan elektronički potpis – pouzdano
jamči identitet potpisnika i udovoljava zahtjevima
sadržanim u članku 4.
15
Slide 16
Čl. 4.
Napredan elektronički potpis:
1. je povezan isključivo s potpisnikom
2. nedvojbeno identificira potpisnika
3. nastaje korištenjem sredstava kojima potpisnik
može samostalno upravljati i koja su isključivo
pod nadzorom potpisnika
4. sadržava izravnu povezanost s podacima na
koje se odnosi i to na način koji nedvojbeno
omogućava uvid u bilo koju izmjenu izvornih
podataka
16
Slide 17
• Napredan elektronički potpis ima istu pravnu
snagu i zamjenjuje vlastoručni potpis,
odnosno vlastoručni potpis i otisak pečata
• Ne može se odbiti prihvaćanje dokumenta
samo zbog toga što je sačinjen i izdan u
elektroničkom obliku s elektroničkim potpisom
• Iznimke: nekretnine, oporuke, (pred)bračni
ugovori, darovanje imovine, nasljeđivanje…
17
Slide 18
Certifikat
• Certifikat je elektronička potvrda kojom se
potvrđuje identitet potpisnika u postupcima
razmjene elektroničkih zapisa
• Kvalificirani certifikat je elektronička
potvrda kojom davatelj usluga izdavanja
kvalificiranih certifikata potvrđuje napredni
elektronički potpis
18
Slide 19
Kvalificirani certifikat
•
•
•
•
•
•
•
•
•
oznaku o tome da se radi o kvalificiranom certifikatu,
identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime;
ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište,
odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje
pravna osoba),
identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke,
nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište).
podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima
za izradu elektroničkog potpisa koji su pod kontrolom potpisnika,
podatke o početku i kraju važenja certifikata,
identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te
datum izdavanja),
napredni elektronički potpis davatelja usluge izdavanja kvalificiranih
certifikata,
ograničenja vezana za uporabu certifikata, ako ih ima,
ograničenja na vrijednost poslovnih događaja za koje se daje certifikat,
ako ih ima.
19
Slide 20
Ministarstvo gospodarstva
• Vodi evidenciju o davateljima usluga
certificiranja
• Ministar gospodarstva pravilnikom
propisuje vrstu, sadržaj i način dostave
dokumentacije o ispunjavanju uvjeta
• Ne treba dozvola za obavljanje usluga
certificiranja
• Usluge certificiranja mogu obavljati samo
registrirani/evidentirani davatelji usluga
20
Slide 21
Uvjeti
• organizacija rada koja jamči kvalitetu
• financijska i materijalna sredstva za trajnije
izvođenje usluge certificiranja i pokrivanje šteta,
osiguranje i sl.
• Kvalificirano osoblje za tehničke poslove,
vođenje registra i zaštitu osobnih podataka
• tehničku i programsku osnovicu koja
podržava međunarodne standarde
• sustav fizičke zaštite uređaja, opreme i
podataka
• zaštitu od neovlaštenog pristupa i oštećenja
informacija
21
Slide 22
Uvjeti…
• osigurano točno utvrđivanje datuma i vremena
(sata i minute) izdavanja ili opoziva certifikata
• osiguranu provjeru identiteta potpisnika
• pouzdane mjere protiv krivotvorenja
• osiguranje od rizika moguće štete
• sustav pohrane
• sigurnosni sustav
– zaštita od neovlaštenog kopiranja, pristupa…
– dostupnost samo za odobrenu svrhu
• informiranje o točnim uvjetima korištenja
22
Slide 23
Zakon o elektroničkoj ispravi
NN 150/05
23
Slide 24
Elektronička isprava
• jednoznačno povezan cjelovit skup podataka koji su
– elektronički oblikovani (izrađeni pomoću računala i
drugih elektroničkih uređaja), poslani, primljeni ili
sačuvani na elektroničkom, magnetnom, optičkom ili
drugom mediju
– sadrži svojstva kojima se utvrđuje izvor (stvaratelj)
– utvrđuje vjerodostojnost sadržaja
– dokazuje postojanost sadržaja u vremenu
• Sadržaj elektroničke isprave uključuje sve oblike pisanog
teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.
24
Slide 25
Izvornik i kopije
• Svaki pojedinačni primjerak elektroničke isprave
koji je potpisan elektroničkim potpisom smatra
se u smislu ovoga Zakona izvornikom
• Elektronička isprava ne može imati elektroničku
presliku (presliku u elektroničkom obliku)
• Ako ista osoba izradi više isprava s istim
sadržajem, u elektroničkom obliku i na papiru, te
se isprave smatraju neovisnim
– Isprava izrađena na papiru ne smatra se preslikom
elektroničke isprave
25
Slide 26
Preslika na papiru
• Izrađuje se ovjerom ispisa vanjskog
obrasca prikaza elektroničke isprave na
papiru uz primjenu postupaka predviđenih
zakonom i drugim propisima
• Ovjeru ispisa obavljaju
– ovlaštene osobe u tijelima javne vlasti
– javni bilježnik
• Ispis na papiru mora sadržavati oznaku da
se radi o preslici elektroničke isprave
26
Slide 27
Čuvanje elektroničkih isprava
• u informacijskom sustavu ili na medijima koji omogućuju
trajnost elektroničkog zapisa za utvrđeno vrijeme
čuvanja i čine elektroničku arhivu
• u čitljivom obliku za cijelo vrijeme čuvanja dostupne
ovlaštenim osobama
• čuvaju se podaci o elektroničkim potpisima
• vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme,
način i oblik u kojem je zaprimljena u sustav na čuvanje
• pohranjene uz razumno jamstvo da ne mogu biti
mijenjane i da se ne mogu neovlašteno brisati
• postupci održavanja i zamjene medija za pohranu
elektroničkih isprava ne narušavaju cjelovitost i
nepovredivost elektroničkih isprava
27
Slide 28
Zakon o tajnosti podataka
NN 79/07
28
Slide 29
Podatak
• Dokument, odnosno svaki napisani,
umnoženi, nacrtani, slikovni, tiskani,
snimljeni, fotografirani, magnetni, optički,
elektronički ili bilo koji drugi zapis podatka,
saznanje, mjera, postupak, predmet,
usmeno priopćenje ili informacija, koja s
obzirom na svoj sadržaj ima važnost
povjerljivosti i cjelovitosti za svoga
vlasnika
29
Slide 30
Klasificirani podatak
• Podatak koji je nadležno tijelo, u
propisanom postupku, takvim označilo i za
koji je utvrđen stupanj tajnosti
• Podatak kojeg je Republici Hrvatskoj tako
označenog predala druga država ili
međunarodna organizacija
30
Slide 31
Neklasificirani podatak
• Podatak bez utvrđenog stupnja tajnosti,
koji se koristi u službene svrhe
• Podatak koji je Republici Hrvatskoj tako
označenog predala druga država,
međunarodna organizacija ili institucija s
kojom Republika Hrvatska surađuje
31
Slide 32
Klasifikacija
• Klasifikacija podatka je postupak
utvrđivanja jednog od stupnjeva tajnosti
podatka s obzirom na stupanj ugroze
• Deklasifikacija - prestanak postojanja
razloga zbog kojih je podatak klasificiran
– postaje neklasificirani s ograničenom
uporabom samo u službene svrhe
32
Slide 33
• Vlasnik podatka je nadležno tijelo u okviru
čijeg djelovanja je klasificirani ili
neklasificirani podatak nastao
• Certifikat je uvjerenje o sigurnosnoj
provjeri (osoblja) koje omogućava pristup
klasificiranim podacima
33
Slide 34
Zloporaba
• Klasificiranim podatkom ne može se
proglasiti podatak radi prikrivanja
kaznenog djela, prekoračenja ili
zlouporabe ovlasti te drugih oblika
nezakonitog postupanja u državnim
tijelima
34
Slide 35
Zakon o zaštiti tajnosti podataka
(1996.)
• Propisuje vrste tajni
– državna
– službena
– vojna
– profesionalna
– poslovna
i stupnjeve tajnosti
– vrlo tajno
– tajno
– povjerljivo
35
Slide 36
Zakon o tajnosti podataka
(2007.)
• Za klasificirane podatke određuje samo
stupnjeve tajnosti
– Vrlo tajno
– Tajno
– Povjerljivo
– Ograničeno
36
Slide 37
Uži opseg
• Klasificirati se mogu podaci iz djelokruga
državnih tijela u području obrane, sigurnosnoobavještajnog sustava, vanjskih poslova, javne
sigurnosti, kaznenog postupka te znanosti,
tehnologije, javnih financija i gospodarstva
ukoliko su od sigurnosnog interesa za RH
• Ne spominje se poslovna i profesionalna tajna
– vrijede odredbe starog zakona
– Ministarstvo pravosuđa treba prilagoditi zakone
37
Slide 38
Čl. 6. Vrlo tajno
• Podaci čije bi neovlašteno otkrivanje nanijelo
nepopravljivu štetu nacionalnoj sigurnosti i
vitalnim interesima Republike Hrvatske, a
osobito sljedećim vrijednostima:
–
–
–
–
–
–
–
temelji Ustavom utvrđenog ustrojstva RH
neovisnost, cjelovitost i sigurnost RH
međunarodni odnosi RH
obrambena sposobnost i sig-obavještajni sustav
sigurnost građana
osnove gospodarskog i financijskog sustava RH
znanstvena otkrića, pronalasci i tehnologije
od važnosti za nacionalnu sigurnost RH
38
Slide 39
Ostali stupnjevi tajnosti
• TAJNO
– podaci čije bi neovlašteno otkrivanje teško
naštetilo vrijednostima iz čl. 6.
• POVJERLJIVO
– podaci čije bi neovlašteno otkrivanje naštetilo
vrijednostima iz čl. 6.
• OGRANIČENO
– podaci čije bi neovlašteno otkrivanje naštetilo
djelovanju i izvršavanju zadaća državnih
tijela
39
Slide 40
Postupak klasificiranja
• Obavlja se pri nastanku podataka
• Prilikom periodične procjene
• Vlasnik podatka dužan je odrediti najniži
stupanj tajnosti koji osigurava zaštitu
interesa
40
Slide 41
Periodična procjena
•
•
•
•
VRLO TAJNO najmanje jednom u 5 godina
TAJNO najmanje jednom u 4 godine
POVJERLJIVO najmanje jednom u 3 godine
OGRANIČENO najmanje jednom u 2 godine
• O promjeni stupnja tajnosti ili o deklasifikaciji
podatka vlasnik će pisanim putem izvijestiti sva
tijela kojima je podatak bio dostavljen
41
Slide 42
Interes javnosti
• Vlasnik podatka dužan je ocijeniti
razmjernost između prava na pristup
informacijama i zaštite vrijednosti
• Prije donošenja odluke vlasnik podatka je
dužan zatražiti mišljenje Ureda Vijeća za
nacionalnu sigurnost
42
Slide 43
Pristup
• Pristup klasificiranim podacima
– Osobe kojima je to nužno za obavljanje posla
– Imaju izdano uvjerenje o obavljenoj
sigurnosnoj provjeri (certifikat)
• Organizacije podnose UVNS-u zahtjeve za
izdavanje certifikata za zaposlenike, koji bi
u okviru svog djelokruga trebali imati pravo
pristupa klasificiranim podacima
43
Slide 44
Trajanje certifikata
• Certifikat se izdaje, ako ne postoje
sigurnosne zapreke, na rok od pet godina
za stupnjeve
– Vrlo tajno
– Tajno
– Povjerljivo
44
Slide 45
Zakon o informacijskoj sigurnosti
NN 79/07
45
Slide 46
Opseg
• Primjenjuje se na državna tijela, tijela
jedinica lokalne i područne samouprave
te na pravne osobe s javnim ovlastima
koje u svom djelokrugu koriste
klasificirane i neklasificirane podatke
• Na pravne i fizičke osobe koje pristupaju
klasificiranim i neklasificiranim podacima
46
Slide 47
Izvan opsega
• ZIS se ne primjenjuje na IS pravnih i
fizičkih osoba koje ne dolaze u dodir s
podacima od javnog značenja
– Trgovačka društva, banke itd.
• Kod njih je primjena pravila i dobre prakse
koju ZIS propisuje dobrovoljna
47
Slide 48
Međunarodna praksa
• Upravljanje sigurnošću na razini države:
• Središnje državno tijelo za IS
– National Security Authority – NSA
• Središnje tijelo za tehnička područja IS
– National Communication Security Authority
NCSA
– ili InfoSec Authority - IA
48
Slide 49
RH
• Ured Vijeća za nacionalnu sigurnost
– UVNS - naš NSA
• Zavod za sigurnost informacijskih sustava
– ZSIS - naš NCSA, za tehnička pitanja
49
Slide 50
Informacijska sigurnost
• Stanje povjerljivosti, cjelovitosti i
raspoloživosti podataka
• Postiže se primjenom propisa i standarda
IS i organizacijskom podrškom
• Mjere IS su pravila zaštite podataka na
fizičkoj, tehničkoj i organizacijskoj razini
50
Slide 51
Područja IS
•
•
•
•
•
Provjere osoblja
Fizička sigurnost
Sigurnost podataka
Sigurnost informacijskih sustava
Sigurnost vanjske suradnje
– industrijska sigurnost
51
Slide 52
Akreditacija
• Sigurnosna akreditacija informacijskog
sustava je postupak utvrđivanja
osposobljenosti tijela i pravnih osoba za
upravljanje sigurnošću informacijskih
sustava
52
Slide 53
Mjere i standardi
• informacijske sigurnosti propisati će se
vladinom Uredbom
• Standardi za provedbu mjera propisat će
se pravilnicima koje donose čelnici
središnjih državnih tijela za informacijsku
sigurnost
53
Slide 54
UVNS
• Donosi pravilnike o standardima za 5
područja IS
• Koordinacija u primjeni mjera i donošenje
standarda IS u tijelima javne vlasti
• Primjena mjera i standarda IS u razmjeni
klasificiranih podataka između RH i stranih
zemalja i organizacija
• Vršno tijelo za nacionalni normizacijski
proces
54
Slide 55
Nadležnost ZSIS-a
• Središnje državno tijelo za tehnička
područja IS
– Standardi sigurnosti IS
– Sigurnosne akreditacije IS
– Upravljanje kriptomaterijalima u razmjeni
klasificiranih podataka
– Koordinacija prevencije i odgovora na ugroze
sigurnosti IS
55
Slide 56
Nacionalni CERT
• Novo nacionalno tijelo za prevenciju i
odgovor na računalne ugroze
• Izrasta iz CARNetova CERT-a
• Prevencija (sigurnosna upozorenja)
• Postupanja u slučaju incidenta
56
Slide 57
Provedba
• Obveza provođenja propisanih standarda
IS temeljem pravilnika koje donose UVNS
i ZSIS
• U tijelima javne vlasti koji nemaju IT
službe, nadležan je SDUeH koji koristi
usluge tijela za potporu IT sustava
• U okviru obrazovnog i akademskog
sektora nadležno je MZOŠ koje koristi
usluge CARNeta i Srca
57
Slide 58
Nadzor
• Nadzor organizacije, provedbe, stanja i
učinkovitosti propisanih mjera i standarda
• Nadzor provode savjetnici za informacijsku
sigurnost
• UVNS će propisati kriterije za ustrojavanje
radnih mjesta
58
Slide 59
Prateći pravilnici
• Zakon zadaje rokove za donošenje
pravilnika koji će konkretizirati zahtjeve i
propisati mjere i standarde informacijske
sigurnosti
59
Slide 60
Uredba o mjerama
informacijske sigurnosti
NN 46/08
60
Slide 61
Čl. 1.
• Uredbom se utvrđuju mjere informacijske
sigurnosti za postupanje s klasificiranim i
neklasificiranim podacima.
• Primjenjuje se na državna tijela, tijela
jedinica lokalne i područne samouprave, te
na pravne osobe s javnim ovlastima
• Na pravne i fizičke osobe koje pristupaju
klasificiranim i neklasificiranim
podacima
61
Slide 62
Čl. 2. - Definicije
• Klasificirani ugovor – kojim se
razmjenjuju klasificirani podaci
• Kriptomaterijali – kriptografski proizvodi i
podaci, programska rješenja ili uređaji za
zaštitu podataka, tehnička dokumentacija,
ključevi
• Opća razina zaštite – skup mjera i
standarda propisan za stupnjeve tajnosti
62
Slide 63
Akreditacija
• Sigurnosna akreditacija sustava registrara
– utvrđivanje da li su primijenjene mjere i
standardi IS propisane za
– Organizaciju rada
– Osoblje
– Prostor
– Informacijske sustave
– Klasificirane podatke
63
Slide 64
• Ugroza (prijetnja) – potencijalni uzrok koji
može nanijeti štetu klasificiranom podatku
ili informacijskom sustavu
• Upravljanje rizikom IS – sustavan pristup
koji uključuje planiranje, organiziranje i
usmjeravanje aktivnosti, da bi rizici za
klasificirane podatke ostali u utvrđenim i
prihvatljivim okvirima
64
Slide 65
Pristup klasificiranim podacima
• Vrlo tajno, Tajno i Povjerljivo
– osoba koja je certificirana
• Ograničeno
– osoba upoznata s načinom postupanja s
klasificiranim podacima
– nužno za obavljanje posla
– temeljem ovlasti čelnika
65
Slide 66
Razmjena
• Klasificiran podatak može se dostavljati drugim
tijelima i pravnim osobama samo uz prethodnu
suglasnost vlasnika podatka
• Samo s državama i međunarodnim org. koje su
potpisale ugovor o uzajamnoj zaštiti kl.pod.
• Iznimno unutar međunarodne suradnje koja
uključuje razmjenu klasificiranih podataka
• Evidenciju ugovora vodi UVNS
66
Slide 67
Neklasificirano
• Bez oznake
– nema ograničenja uporabe i pristupa
– javni podaci (cjelovitost i dostupnost)
• Oznaka neklasificirano
– samo u službene svrhe
– dostupan samo fizičkim osobama, tijelima i
pravnim osobama koje imaju potrebu
korištenja radi obavljanja posla
• non-classified, unclassified
67
Slide 68
Mjere zaštite
• Za zaštitu neklasificiranih podataka
– ISO 27001
– ISO 17799 -> 27002
• Za oznaku Ograničeno
– Isto, uz dodatne mjere
• Savjetnik za informacijsku sigurnost
redovito provjerava usklađenost
informacijskog sustava s propisanim
normama, mjerama i standardima IS
68
Slide 69
Ujednačenost zaštite
• Tijela i pravne osobe koje postupaju s
klasificiranim i neklasificiranim podacima
primjenjuju propisane mjere informacijske
sigurnosti radi osiguravanja ujednačene
razine zaštite
69
Slide 70
Mjere IS
•
Za područja IS
1.
2.
3.
4.
5.
Sigurnosna provjera
Fizička sigurnost
Sigurnost podataka
Sigurnost informacijskog sustava
Sigurnost poslovne suradnje
70
Slide 71
Sigurnosna provjera
• Popis dužnosti i poslova za koje je potrebno
uvjerenje o sigurnosnoj provjeri
• Postupak za izdavanje certifikata
• Upitnik za sigurnosnu provjeru
• Pisana suglasnost osobe koju se provjerava
• Izdavanje certifikata
• Sigurnosno informiranje
• Nacionalni registar izdanih, odbijenih certifikata,
potpisanih izjava
• Registar zaprimljenih certifikata i potpisanih
izjava o postupanju s klasificiranim podacima
71
Slide 72
• Sve osobe koje imaju pristup klasificiranim
podacima dužne su najmanje jednom
godišnje pristupati sigurnosnom
informiranju o propisanim mjerama i
standardima IS
• Potpisati izjavu o postupanju s
klasificiranim podacima
72
Slide 73
Sigurnosno informiranje
• UVNS za pristup stupnjevima Vrlo tajno,
Tajno i Povjerljivo
• Ograničeno
– Savjetnici za informacijsku sigurnost
– Ili drugi sigurnosni koordinatori koje tijela ili
pravne osobe odrede
73
Slide 74
Fizička sigurnost
• Lokacije u kojima se čuvaju ili obrađuju
klasificirani podaci štite se mjerama fizičke
sigurnosti
• Radi:
– Sprečavanja neovlaštenog ulaska
– Sprečavanja zloporaba zaposlenika
– Razdvajanja zaposlenika prema ovlastima
– Otkrivanja sigurnosnih ugroza i reakcija
74
Slide 75
Mjere fizičke sigurnosti
•
•
•
•
•
•
•
•
•
•
višestruka zaštita
sigurnosne zone
administrativne zone
plan fizičke sigurnosti
procjena učinkovitosti mjera fizičke sigurnosti
kontrola osoba
pohrana klasificiranih i neklasificiranih podataka
tehnički sigurni prostori
fizička sigurnost informacijskih sustava
oprema za fizičku zaštitu klasificiranih podataka
75
Slide 76
Sigurnosne zone
• Prostori u kojima se čuvaju klasificirani
podaci stupnjeva Vrlo tajno, Tajno i
Povjerljivo ustrojavaju se kao sigurnosna
zona I ili II
• Zona I je jasno označen i zaštićen prostor
s kontrolom pristupa samo osobama koje
imaju certifikat i ovlaštenje
• Zona II – pristup dozvoljen uz pratnju i
nadzor kada postoji opravdan razlog
76
Slide 77
Administrativne zone
• Klasificirani podaci oznake Ograničeno i
Neklasificirano
• Vidljivo označen prostor s kontrolom
pristupa osoba i vozila
77
Slide 78
…
• Plan fizičke sigurnosti
• Procjena učinkovitosti mjera fizičke
sigurnosti
• Kontrola osoba
• Fizička sigurnost informacijskih sustava
– Unutar sigurnih zona
78
Slide 79
Pohrana
• Pohrana klasificiranih podataka u sigurnim
zonama
• Vrlo tajno
– Sigurnosni spremnik s detekcijom neovlaštenog
pristupa
– Stalna zaštita uz periodični nadzor
• Tajno
– Sigurnosni spremnik ili prostor za otvorenu pohranu
uz stalnu zaštitu
• Povjerljivo – sigurnosni spremnik
• Ograničeno i neklasificirano – zaključano u
uredskom namještaju
79
Slide 80
Sigurnost podataka
• Mjere
– Klasificiranje i deklasificiranje
– Označavanje podataka
– Pristup podacima
– Zaštita podataka
– Sustav registrara
– Evidencija korištenja
– Postupanje u izvanrednim situacijama
– Ustupanje klasificiranih podataka
80
Slide 81
Sigurnost informacijskih sustava
• Mjere
– Mjere zaštite informacijskog sustava
– Upravljanje sviješću o sigurnosti
– Planiranje djelovanja u izvanrednim
okolnostima
81
Slide 82
• Mjere zaštite informacijskog sustava
– Zaštita hardvera, softvera i medija
– Upravljanje konfiguracijom i sustavom
korisničkog pristupa
– Kontrola povezivanja i uporabe IS
– Zaštita od rizika elektromagnetskog zračenja
– Primjena kriptografske zaštite
82
Slide 83
Sigurnost poslovne suradnje
• Mjere
– Sklapanje klasificiranih ugovora
– Razmatranje sigurnosnih aspekata u svim
fazama životnog ciklusa IS
– Definiranje odgovornosti za provedbu svake
od mjera
– Redovita kontrola provedbe
83
Slide 84
Certifikat poslovne sigurnosti
• Pravne osobe koje sudjeluju u
međunarodnim klasificiranim ugovorima
podnose UVNS-u zahtjev iz izdavanje
certifikata
• Ugovor UVNS-a i pravne osobe
• Sigurnosna provjera pravne osobe
– Provjera strukture vlasništva
– Provjera osoblja koje će pristupati kl. pod.
– Provjera savjetnika za informacijsku sigurnost
84
Slide 85
Upravljanje rizikom
• Procjena rizika
– popis prijetnji
– prioriteti prijetnji
• Obrada rizika
– prihvaćanje rizika
– smanjivanje rizika primjenom kontrola
– prebacivanje rizika na treću stranu
85
Slide 86
Nadzor
• Nadzor mjera i standarda IS
• U tijelima i pravnim osobama koje koriste
– klasificirane i neklasificirane podatke
• savjetnici za informacijsku sigurnost
– klasificirane podatke
• UVNS
– vrlo tajno, tajno, povjerljivo - najmanje jednom u 2 god.
– ograničeno - najmanje jednom u 4 god.
86
Slide 87
87
Slide 88
Zakon o zaštiti osobnih podataka
NN 103/03
Dopune
NN 41/08
88
Slide 89
Zaštita privatnosti građana
• Relativno nova civilizacijska i pravna
stečevina
• Filozofske teze
– Na pr. Sokratov daimon
• Pravno izvorište kodificirano
međunarodnim konvencijama
89
Slide 90
• Opća konvencija Ujedinjenih naroda
o ljudskim pravima (1948.).
“Nitko ne smije biti izvrgnut samovoljnom
miješanju u njegov/njezin privatni život, obitelj,
dom i prepisku, niti napadima na njegovu/njezinu
čast i ugled.”
• Evropska konvencija o ljudskim
pravima (1950.).
90
Slide 91
Aspekti privatnosti
•
•
•
•
•
Tjelesna privatnost
Prostorna privatnost
Informacijska privatnost
Komunikacijska privatnost
Medijska privatnost
91
Slide 92
Domaći pravni izvori
• Ustav Republike Hrvatske
– Čl. 23. - fizička zaštita pojedinca
– Čl. 34. - nedopušteno miješanje u
obiteljsko i drugo okruženje
– Čl. 37. - tajnost i zaštita osobnih
podataka
92
Slide 93
Kazneni zakon
• Čl. 130. - povreda tajnosti pisama i drugih
pošiljaka
• Čl. 131. - neovlašteno snimanje i
prisluškivanje
• Čl. 132. - neovlašteno otkrivanje
profesionalne tajne
• Čl. 133. - nedozvoljena uporaba osobnih
podataka
93
Slide 94
Kazneni zakon
• Čl. 130. - povreda tajnosti pisama i drugih
pošiljaka
• Čl. 131. - neovlašteno snimanje i
prisluškivanje
• Čl. 132. - neovlašteno otkrivanje
profesionalne tajne
• Čl. 133. - nedozvoljena uporaba osobnih
podataka
94
Slide 95
Drugi propisi
• Reguliraju dodirna područja:
1.
2.
3.
4.
5.
6.
7.
Zakon o radu
Zakon odgovornosti pravnih osoba za kaznena djela
Zakon o telekomunikacijama
Zakon o elektroničkoj trgovini
Zakon o zaštiti potrošača
Zakon o pravu na pristup informacijama
Zakon o potvrđivanju Konvencije o kibernetičkom
kriminalu
8. EU Directive on Privacy and Electronic
Communications (E- Privacy Directive 2002) i t.d.
95
Slide 96
Zakon o zaštiti osobnih podataka
• Uređuje se zaštita osobnih podataka o
fizičkim osobama te nadzor nad
prikupljanjem, obradom i korištenjem
osobnih podataka u Republici Hrvatskoj
96
Slide 97
Osobni podatak
• Svaki podatak koji se odnosi na
identificiranu fizičku osobu ili fizičku osobu
(ispitanik) koja se može identificirati
• Identitet se može utvrditi izravno ili
neizravno, posebno na osnovi
identifikacijskog broja ili jednog ili više
obilježja specifičnih za njezin fizički,
psihološki, mentalni, gospodarski, kulturni
ili socijalni identitet.
97
Slide 98
Obrada osobnih podataka
• Svaka radnja izvršena na osobnim podacima,
bilo automatskim sredstvima ili ne, prikupljanje,
snimanje, organiziranje, spremanje, prilagodba
ili izmjena, povlačenje, uvid, korištenje,
otkrivanje putem prijenosa, objavljivanje ili na
drugi način učinjenih dostupnim, svrstavanje ili
kombiniranje, blokiranje, brisanje ili
uništavanje, te provedba logičkih, matematičkih
ili drugih operacija s tim podacima
98
Slide 99
Zbirka osobnih podataka
• Svaki skup osobnih podataka koji je
dostupan prema posebnim kriterijima, bilo
centraliziranim, decentraliziranim ili
raspršenim na funkcionalnom ili
zemljopisnom temelju i bez obzira na to da
li je sadržan u računalnim bazama osobnih
podataka ili se vodi temeljem drugih
tehničkih pomagala ili ručno
99
Slide 100
Voditelj zbirke osobnih podataka
• Fizička ili pravna osoba, državno ili drugo
tijelo koje utvrđuje svrhu ili način obrade
osobnih podataka
• Kada je svrha i način obrade propisan
zakonom, istim se zakonom određuje i
voditelj zbirke osobnih podataka
100
Slide 101
Izvršitelj obrade
• Voditelj zbirke može u svezi s obradom
ugovorom pojedine poslove iz svog
djelokruga povjeriti drugoj fizičkoj ili
pravnoj osobi – izvršitelju obrade
101
Slide 102
Korisnik
• je fizička ili pravna osoba, državno ili
drugo tijelo kojem se osobni podaci mogu
dati na korištenje radi obavljanja redovitih
poslova u okviru njegove zakonom
utvrđene djelatnosti
102
Slide 103
Privola ispitanika
• Slobodno dano i izričito očitovanje volje
ispitanika kojom on izražava svoju
suglasnost s obradom njegovih podataka
u određene svrhe
103
Slide 104
Prikupljanje
• Osobni podaci smiju su prikupljati samo
– uz privolu ispitanika
– u slučajevima predviđenim zakonom
• Mogu se prikupljati jedino u svrhu s kojom je
ispitanik upoznat i koja je izričito navedena
• Osobni podaci moraju biti bitni za postizanje
određene svrhe i ne smiju se prikupljati u
opsegu većem nego što je nužno
104
Slide 105
Obrada…
• Osobni podaci moraju biti točni, potpuni, ažurni
• Osobni podaci moraju se čuvati u obliku koji
dopušta identifikaciju ispitanika ne duže no što
je potrebno za svrhu za koju su prikupljani
• Smiju se obrađivati samo u svrhu za koju je
ispitanik dao privolu
• Voditelj zbirke podataka smije obrađivati
osobne podatke samo uz uvjete utvrđene
Zakonom o zaštiti osobnih podataka i za to
odgovara
105
Slide 106
Obrada…
• Ispitanik ima pravo u svako doba
odustati od dane privole i zatražiti
prestanak daljnje obrade
• Ispitanik ima pravo usprotiviti se obradi
osobnih podataka u svrhe marketinga
• Osobni podaci se bez privole ispitanika
smiju obrađivati za potrebe povijesne,
statističke ili znanstvene svrhe, ako su
prije toga depersonalizirani
106
Slide 107
Posebne kategorije osobnih
podataka
Zabranjeno je prikupljanje i daljnja obrada
podataka koji se odnose na:
- rasno ili etičko podrijetlo
- politička stajališta
- vjerska ili druga uvjerenja
- sindikalno članstvo
- zdravlje ili spolni život
- kazneni ili prekršajni postupak
107
Slide 108
Iznimka
• Zabrana se ne odnosi na obrade u okviru
ustanove, udruženja ili drugog neprofitnog
tijela s političkom, vjerskom ili drugom
svrhom pod uvjetom da se obrada odnosi
isključivo na njihove članove te da podaci
ne budu otkriveni trećoj strani bez
prethodnog pristanka ispitanika
108
Slide 109
Zaštita ispitanika
• Voditelj obrade dužan je u roku od 30
dana na zahtjev ispitanika:
1. Dostaviti potvrdu da li se osobni podaci
ispitanika obrađuju ili ne
2. Obavijestiti u razumljivom obliku o podacima
čija je obrada u tijeku i o izvoru tih podataka
3. Omogućiti uvid u evidenciju zbirke osobnih
podataka i uvid u osobne podatke
109
Slide 110
Prava ispitanika…
4. Dostaviti izvatke, potvrde ili ispise osobnih
podataka (ispitanika) s naznakom svrhe i
pravnog temelja prikupljanja, obrade i
korištenja tih podataka
5. Dostaviti ispis podataka o tome tko je i za
koje svrhe i po kojoj pravnoj osnovi dobio
na korištenje podatke (ispitanika)
6. Dati obavijest o logici automatske obrade
podataka (ispitanika)
110
Slide 111
Prava ispitatnika…
7. Na zahtjev ispitanika ili ako sam uoči da su
podaci nepotpuni, netočni ili neažurni Voditelj
obrade dužan je dopuniti, izmijeniti ili brisati
nepotpune, netočne ili neažurne podatke
8. O izvršenoj dopuni, izmjeni ili brisanju
nepotpunih, netočnih ili neažurnih podataka
Voditelj obrade dužan je u roku od 30 dana
izvijestiti osobu na koju se podaci odnose
9. Unaprijed obavijestiti ispitanika o namjeravanoj
obradi osobnih podataka u svrhe marketinga
111
Slide 112
Kaznene odredbe
•
Novčanom kaznom od 20.000,00 do
40.000,00 kn kaznit će se:
1. Izvršitelj obrade koji prekorači granice svojih
ovlasti
2. Voditelj zbirke koji ne uspostavi evidenciju
3. Voditelj zbirke koji ne osigura zaštitu
4. Voditelj zbirke koji onemogući Agenciju u
nadzoru
112
Slide 113
UREDBA
o načinu pohranjivanja i
posebnim mjerama tehničke
zaštite posebnih kategorija
osobnih podataka
NN 139/04
113
Slide 114
Definicije
• Sustav za vođenje zbirke osobnih
podataka sastoji se od
– računalne
– telekomunikacijske
– upravljačke i programske opreme
– osobnih podataka
114
Slide 115
Računala
• Računalo za vođenje zbirke - ugrađena
upravljačka i programska oprema sustava za
vođenje zbirke osobnih podataka
• Središnje računalo zbirke - ugrađena
upravljačka i programska oprema za obradu i
pohranu zbirke osobnih podataka
• Razvojno računalo - upravljačka i programska
oprema u razvitku, oprema koja se provjerava,
te jednaka opremi ugrađenoj u računala za
vođenje zbirke
– Razvoj i testiranje
115
Slide 116
Admini
• Administrator zbirke brine o sustavu za
upravljanje zbirkama osobnih podataka i o svim
vidovima osiguranja i pohranjivanja podataka
• Administrator mrežnog sustava brine o TK
opremi, pristupnim putevima, mreži, modemskim
i drugim vezama između računalnih sustava
• Administrator upravljačkog sustava osoba
ovlaštena brinuti o ugradnji i ispravnom radu
upravljačkog sustava
116
Slide 117
UPS
• Uređaj za neprekidno napajanje
omogućava nastavak rada nakon
nestanka el. energije, tako da se poslovi u
tijeku mogu završiti bez opasnosti za
cjelovitost informacija
117
Slide 118
Backup & Restore
• Pohranjivanje podataka je postupak
pohranjivanja sigurnosnog primjerka
podataka za slučaj gubitka, oštećenja ili
uništenja podataka
• Povrat pohranjenih podataka je
postupak vraćanja podataka u prethodno
stanje sa sigurnosnog primjerka
– vraćeni podaci moraju biti u posljednjem
sukladnom stanju i bez gubitka informacija
118
Slide 119
Oporavak sustava
• Obnavljanje rada računalnog sustava je
skup postupaka za povratak računalnog
sustava i svih započetih poslova u
posljednje sukladno stanje tog sustava.
• Ponovno uključivanje sustava u rad je
skup postupaka za uključivanje
računalnog sustava u rad nakon
neuobičajenog prekida rada tog sustava.
119
Slide 120
Modemski ulazi
• Modemski priključci za pristup sustavu
ne objavljuju se u telefonskim imenicima i
ne smiju biti dostupni preko službe za
davanje telefonskih brojeva.
120
Slide 121
Projekt
• Smještanje, postavljanje i ugradnja
računala i računalne mreže postavlja i
ugrađuje stručna osoba uz odobrenje
voditelja zbirke, u skladu s važećim
normama, standardima i tehničkim
uputama, prema projektu
121
Slide 122
Projektna dokumentacija
• Po jedan primjerak projektne
dokumentacije čuva se u radnim
prostorijama
– voditelja zbirke osobnih podataka
– izvršitelja obrade (ukoliko postoji)
– dostavlja na uvid Agenciji za zaštitu
osobnih podataka
122
Slide 123
Zaštite
• Računalo za vođenje zbirki i središnje
računalo mora biti opremljeno:
– mehanizmom za sigurnosno
prijavljivanje za rad s mogućnošću
pohrane podataka o prijavljivanju
– mehanizmom za sprečavanje
neovlaštenog iznosa i unosa
podataka uporabom prijenosnih medija,
komunikacijskih priključaka i priključaka
za ispis podataka
123
Slide 124
Zaštite
• Mehanizmom zaštite od računalnih
virusa i drugih štetnih programa
• Mehanizmom kriptološkog osiguranja
podataka na prijenosnim medijima i u
toku prijenosa podataka informatičkim i
telekomunikacijskim sustavima
124
Slide 125
Pristup opremi
• Računalna i telekomunikacijska oprema
postavlja se i ugrađuje u posebno
zaštićene prostorije određene projektom
• Smiju ulaziti samo ovlaštene osobe
• Voditelj zbirke ili izvršitelj obrade uz
suglasnost voditelja određuje ovlaštene
osobe
125
Slide 126
Fizička sigurnost
• Prostorije s opremom moraju biti
opremljene sustavom video nadzora i
elektroničkim dvostranim sustavom za
kontrolu prolaza
126
Slide 127
Pristup podacima
• Pristup podacima dozvoljen je
ovlaštenim zaposlenicima i ovlaštenim
osobama zaduženim za održavanje i
razvitak sustava (u daljnjem tekstu:
ovlašteni stručnjaci)
• Ovlaštenja dodjeljuje voditelj zbirke, ne
voditelj obrade
127
Slide 128
ID
• Pristup podacima dozvoljen je uporabom
dodijeljenoga jedinstvenog korisničkog
imena i propusnice
• Ukinuto korisničko ime ne smije se
dodijeliti drugoj osobi
• Korisničko ime i pripadna propusnica ne
smiju se odati i dati na uporabu drugoj
osobi
128
Slide 129
IDS
• Svaki pokušaj neovlaštenog pristupa
sustavu mora biti automatski zabilježen
korisničkim imenom, nadnevkom i
vremenom, a ako je moguće i mjestom s
kojeg je pristup pokušan
• Izvršitelj obrade, administratori mreže,
računala i zbirke, dužni su obavijestiti
čelnika voditelja zbirke OP o svakom
pokušaju neovlaštenog pristupa sustavu
129
Slide 130
Zaštita od požara
• Oprema mora biti smještena u
prostorijama koje imaju uređaje za
otkrivanje požara i automatsku dojavu
• Moraju imati uređaje za automatsko
gašenje požara
• Na lako uočljivim mjestima moraju biti
izvješene upute o postupcima u slučaju
izbijanja požara
130
Slide 131
Zračenja
• U blizini računalne i telekomunikacijske
opreme ne smije biti izvora
– jakog električnog ili magnetskog polja
– ionizirajućeg zračenja
– elektrostatičkog elektriciteta
131
Slide 132
Klima
• Mora se održavati
– relativna vlažnost zraka 20 - 80%
– temperatura između 5 i 30°C
132
Slide 133
Opasne tvari
• U prostorijama s opremom i u blizini ne
smiju se nalaziti nagrizajuće i lakohlapljive
tekućine, eksplozivna sredstva i slične
opasne ili štetne tvari
133
Slide 134
Prašina
• Odstraniti uređaje koji u zrak ispuštaju
čestice prašine
• Osjetljivi uređaji koji se hlade zrakom,
moraju imati filtere za zrak
• Uređaji za koje je to dopušteno tehničkim
uputama moraju se pokrivati zaštitnim
pokrovima kada nisu u uporabi
134
Slide 135
Rezervni položaj
• U slučaju potresa i drugih elementarnih
nepogoda, rata i neposredne ratne
opasnosti voditelj zbirke dužan je odrediti
premještanje računalno-komunikacijske
opreme na predviđeno sigurno mjesto
135
Slide 136
Backup
• Voditelj zbirke je dužan pohranjivati
podatke na prenosive medije uporabom
metoda koje jamče sigurnost i tajnost
tako pohranjenih osobnih podataka
• Za provedbu mjera pohranjivanja
podataka odgovaraju administratori
zbirki OP
136
Slide 137
Pohrana
• Podaci se pohranjuju dnevno, tjedno,
mjesečno i godišnje
• dnevni backup sprema se u sef u radnoj
prostoriji voditelja zbirke
• tjedni backup sprema se na sigurno
mjesto udaljeno najmanje 20 km
• mjesečni i godišnji - najmanje 50 km
137
Slide 138
Backup lokacija
• Mjesto spremanja podataka na
prenosivim medijima mora biti osigurano
od elementarnih nepogoda
• Prenosivi mediji moraju biti spremljeni u
vodootporni i vatrootporni sef
• Za prenošenje medija koriste se
vodootporni i vatrootporni kovčezi
zaštićeni šifrom
138
Slide 139
Provjere
• Godišnja kopija zbirke provjerava se
najmanje jednom godišnje uz provjeru
postupka povrata zbirki
• Mediji se moraju obnoviti nakon isteka
polovice zajamčenog roka trajanja zapisa na
toj vrsti medija.
• Uporabljivost mjesečne kopije provjerava se
najmanje svakih šest mjeseci
• Za provedbu mjera osiguranja, pohranjivanja i
zaštite osobnih podataka odgovara
administrator zbirki osobnih podataka
139
Slide 140
Ovlaštenja
• Voditelj zbirke određuje
– osobe ovlaštene za iznošenje
podataka na prenosivim medijima i
njihovo vraćanje
– osobe ovlaštene za dodjeljivanje i
uklanjanje korisničkih imena i
propusnica
140
Slide 141
Potpis
• Voditelj zbirke ustrojava sustav
kriptološkog osiguranja podataka u
prijenosu
• Podaci moraju biti kriptološki osigurani i
ovjereni uporabom elektroničkog
potpisa koji primatelju omogućuje
provjeru izvornosti primljenog izvatka
141
Slide 142
Provjera potpisa
• Primatelji izvatka iz zbirki posebnih
kategorija osobnih podataka dužni su
prilikom primitka izvatka provjeriti
izvornost uporabom javnog ključa
pošiljatelja.
• O primljenim izvacima bez potvrde
izvornosti primatelj je dužan bez odgode
obavijestiti voditelja zbirki osobnih
podataka
142
Slide 143
Provjere
• Voditelj zbirke osobnih podataka tjedno,
mjesečno i godišnje provjerava rad svih
dijelova sustava
• Mjere, postupci i osobe ovlaštene za
osiguranje, pohranjivanje i zaštitu sustava
određuju se, ostvaruju i provjeravaju
prema planu kojeg donosi voditelj
zbirke osobnih podataka u skladu s
međunarodnim preporukama (ISO 17799)
143
Slide 144
Održavanje
• Računalnu, telekomunikacijsku i
programsku opremu održava osoba
određena ugovorom o nabavi opreme ili
drugim odgovarajućim ugovorom ovlašteni stručnjak
144
Slide 145
Središnji registar
• Aplikacija središnjeg registra evidencija
zbirki osobnih podataka mjesto je na koje
voditelji zbirki trebaju prijaviti svoje zbirke
osobnih podataka i opisati ih prema
zadanim pravilima
• http://registar.azop.hr/
145
Slide 146
Opis zbirke
• Parametri koji opisuju zbirku osobnih
podataka:
• Opći podaci o zbirci
• Prava ispitanika
• Podaci o svakom atributu
146
Slide 147
Opći podaci
• naziv zbirke, status, način obrade, datum
uspostave, voditelj, izvršitelji obrade, svrha
obrade, čime je određena svrha obrade,
pravni temelj uspostave zbirke, način
dobivanja privole ispitanika, inozemni
korisnici, mjere zaštite podataka
147
Slide 148
Prava ispitanika
• kontakt osoba, u kojem obliku zahtjev
mora biti predan, administrativni preduvjeti
koji olakšavaju obradu zahtjeva, plaćanje
naknade, zakon kojim je propisano
plaćanje naknade
148
Slide 149
Koraci
• Imenovanje osobe koja će upisivati i
ažurirati podatke o zbirkama osobnih
podataka u aplikaciji Središnjeg registra
• Alias [email protected]
(dekan, kadrovik, AZOP-admin…)
149
Slide 150
Dopune
• Nisu obvezni u Središnji registar dostaviti
evidencije koje vode na temelju propisa iz
područja radnog prava
– Voditelji zbirki OP koji zapošljavaju do 5
zaposlenika
– Oni koji su imenovali službenika za zaštitu
osobnih podataka i o tome izvijestili AZOP
• Odvajanje upravljačke i nadzorne funkcije
150
Slide 151
Nadzor zaštite
• Nadzor nad provedbom odredbi ove
Uredbe obavlja Agencija za zaštitu
osobnih podataka.
• http://www.azop.hr
151
Slide 152
Rokovi
• Uredba stupila na snagu 8.10.2004.
• Voditelji zbirki OP i izvršitelji obrade dužni
su u roku od šest mjeseci od dana
stupanja na snagu uskladiti mjere,
sredstva i uvjete osiguranja, pohranjivanja
i zaštite podataka s odredbama Uredbe
• Rok je prošao 8.4.2005.
152
Slide 153
Za daljnje čitanje
• Smjernice HNB za upravljanje
informacijskim sustavom u cilju smanjenja
operativnog rizika
– ožujak 2006.
• Odluka HNB o primjerenom upravljanju
informacijskim sustavom
– 17.7.2007
• ISO 27001, ISO 27002 (17799)
153