Zakonski i podzakonski propisi i sigurnost informacijskih sustava Biljana Cerin, CISA, CISM, CBCP, PMP Dr. sc. Goran Vojković, dipl.iur. www.snt.hr 1 Kategorije zaštite podataka • Zakon o tajnosti podataka • Zakon o zaštiti osobnih podataka • Zakon o zaštiti tajnosti podataka Država: “Mi štitimo svoje podatke" • Zakon o tajnosti podataka (NN 79/07) – Ovaj Zakon se primjenjuje na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, pravne osobe s javnim ovlastima te pravne i fizičke osobe koje, u skladu sa ovim Zakonom, ostvare pristup ili postupaju s klasificiranim i neklasificiranim podacima. Klasificirani i neklasificirani podaci • klasificirani podatak je onaj koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrñen stupanj tajnosti, kao i podatak kojeg je Republici Hrvatskoj tako označenog predala druga država, meñunarodna organizacija ili institucija s kojom Republika Hrvatska surañuje • neklasificirani podatak je podatak bez utvrñenog stupnja tajnosti, koji se koristi u službene svrhe, kao i podatak koji je Republici Hrvatskoj tako označenog predala druga država, meñunarodna organizacija ili institucija s kojom Republika Hrvatska surañuje Stupnjevanje klasificiranih podataka • Stupnjevi tajnosti klasificiranih podataka su: - VRLO TAJNO - TAJNO - POVJERLJIVO - OGRANIČENO Sukladno NATO klasifikaciji! Uredba o mjerama informacijske sigurnosti • Za zaštitu neklasificiranih podataka, tijela i pravne osobe i primjenjuju odgovarajući skup mjera informacijske sigurnosti, sukladno normama za upravljanje informacijskom sigurnošću, HRN ISO/IEC 27001 i HRN ISO/IEC 17799. • Za zaštitu klasificiranih podataka stupnja tajnosti »Ograničeno«, primjenjuju se dodatno i druge mjere propisane ovom Uredbom, drugim propisima ili meñunarodnim ugovorima. Područja informacijske sigurnosti – prema Uredbi • Područja informacijske sigurnosti za koja se propisuju mjere i standardi informacijske sigurnosti su: 1. sigurnosna provjera, 2. fizička sigurnost, 3. sigurnost podatka, 4. sigurnost informacijskog sustava i 5. sigurnost poslovne suradnje. Sigurnosna provjera • Sigurnosna provjera je posao državnih tijela – no obveznici Uredbe vode odgovarajuće registre. • Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima »Vrlo tajno«, »Tajno« i »Povjerljivo«, dužna su voditi registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima. • Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima stupnja tajnosti »Ograničeno«, dužna su voditi registar potpisanih izjava o postupanju s klasificiranim podacima. Fizička sigurnost • Mjere informacijske sigurnosti za područje fizičke sigurnosti su: višestruka zaštita; sigurnosne zone; administrativne zone; plan fizičke sigurnosti; procjena učinkovitosti mjera fizičke sigurnosti; kontrola osoba; pohrana klasificiranih i neklasificiranih podataka; tehnički sigurni prostori; fizička sigurnost informacijskih sustava; oprema za fizičku zaštitu klasificiranih podataka. • Mjere fizičke sigurnosti odreñuju se tako da se uzima u obzir: stupanj tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja za pristup klasificiranim podacima, te sigurnosna prosudbu o mogućim ugrozama. • Ne postoje opća „generalna“ rješenja – ove mjere se prilagoñavaju konkretnoj organizaciji! • Sigurnosna zona I, Sigurnosna zona II, Administrativna zona… Sigurnost podataka • Mjere informacijske sigurnosti za područje sigurnosti podataka su: – klasificiranje i deklasificiranje podataka; – označavanje podataka; – pristup podacima; – zaštita podataka; – sustav registara; – evidencija korištenja klasificiranih podataka; – postupanje u izvanrednim situacijama; – ustupanje klasificiranih podataka drugoj državi ili meñunarodnoj organizaciji. Sigurnost informacijskog sustava • Mjere informacijske sigurnosti za područje sigurnosti informacijskog sustava su: – mjere zaštite informacijskog sustava, – upravljanje sviješću o sigurnosti i – planiranje djelovanja u izvanrednim okolnostima. Sigurnost poslovne suradnje • Mjere informacijske sigurnosti za područje sigurnosti poslovne suradnje su: – sklapanje klasificiranih ugovora; – certifikat poslovne sigurnosti; – sigurnosni uvjeti za sklapanje klasificiranih ugovora; – prijevoz klasificiranog materijala; – pristup klasificiranim podacima prilikom meñunarodnih posjeta; – razmjena osoba u sklopu projekata ili programa. Osobni podaci – štite se u svakom slučaju • Zakon o zaštiti osobnih podataka, NN103/03, 118/06, 41/08 • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) OSOBNI PODACI POSEBNE KATEGORIJE OSOBNIH PODATAKA Osobni podaci • Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet. • Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima. Posebne kategorije osobnih podataka • Posebne kategorije osobnih podataka su podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom i prekršajnom postupku. • Prema Uredbi, Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava odreñuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s meñunarodnim preporukama za to područje (ISO 17799). Poslovna tajna – vaša briga • Zakon o tajnosti podataka nije regulirao područje poslovne i profesionalne tajne, već je naveo da se za navedene vrste tajni i dalje koristi već uvelike zastario Zakon o zaštiti tajnosti podataka iz 1996. godine. Takvo rješenje dovelo je do brojnih nejasnoća i loše primjene u praksi. • U zapadnim demokracijama tajnost podataka pravnih i fizičkih osoba izvan državnog sustava (privatni sektor) regulira se internim pravilima, u skladu i oslanjajući se pri tom na pravni sustav države (zaštita intelektualnog i industrijskog vlasništva, patenti i dr.). O poslovnoj tajni • Definicija: poslovnu tajnu predstavljaju podaci koji su kao poslovna tajna odreñeni zakonom, drugim propisom ili općim aktom trgovačkog društva, ustanove ili druge pravne osobe, a koji predstavljaju proizvodnu tajnu, rezultate istraživačkog ili konstrukcijskog rada te druge podatke zbog čijeg bi priopćavanja neovlaštenoj osobi mogle nastupiti štetne posljedice za njezine gospodarske interese. • Poslovna tajna mora biti regulirana internim aktom organizacije – pravilnikom! Zaštita poslovne tajne • Ukoliko poslovna tajna nije na odgovarajući način regulirana – ne mogu se sankcionirati osobe koje ju učine javno dostupnom ili otuñe. • Regulacija se mora prilagoditi odredbama već uvelike zastarjelog Zakona o zaštiti tajnosti podataka. • Tehnički zaštititi podatke, podatke, a pravno ne regulirati poslovnu tajnu – znači ostaviti podatke otvorenima. Pitanju zaštite poslovnih podataka organizacije se pristupa integralno. Ali to nije sve! • Hrvatska narodna banka • Hrvatska agencija za nadzor financijskih usluga • Temeljem javnih ovlasti donose pravila koja dodatno reguliraju materiju tajnosti podataka! Ali, ni to nije sve! • Pružatelji usluga iz područja telekomunikacija, farmacije, zdravstva moraju ispuniti i dodatna pravila posebnih zakona i podzakonskih akata vezana uz tajnost podataka. • Gore navedeno se odnosi i na organizacije koje u svom radu koriste vlastite komunikacijske sustave ili imaju zdravstvenu i sličnu službu. Skupljanje i analiza “logova” – zašto nam to treba? Sigurnost radi Sukladnosti? ili Sukladnost radi Sigurnosti? Uredba o mjerama informacijske sigurnosti, Članak 54. • Kontrola uporabe informacijskih sustava podrazumijeva evidentiranje aktivnosti korisnika informacijskog sustava. • Pored aktivnosti iz stavka 1. ovog članka, primjenjuju se mjere za spriječavanje zlouporabe informacijskih sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u mrežu, definiranje, pregledavanje i analiziranje zapisnika rada sustava i provoñenje analiza ranjivosti informacijskog sustava. HNB odluka o primjerenom upravjanju informacijskim sustavom, Članak 20. • Banka je dužna uspostaviti sustav upravljanja korisničkim pravima pristupa koji obuhvaća procese evidentiranja, autorizacije, identifikacije i autentifikacije te nadzora korisničkih prava pristupa. Payment Card Industry Data Security Standard. PCI DSS: • Regularly Monitor and Test Networks • Requirement 10: Track and monitor all access to network resources and cardholder data Logging mechanisms and the ability to track user activities are critical. The presence of logs in all environments allows thorough tracking and analysis when something goes wrong. Determining the cause of the compromise is very difficult without system activity logs. HANFA Pravilnik – revizorski pregled i izvješće, Članak 15. Izvješće o kvaliteti informatičkog sustava u društvu za osiguranje sadržava ocjenu i preporuke slijedećih područja: 1. usklañenost djelovanja informatičkog sustava s poslovnim ciljem, 2. učinkovitost djelovanja informatičkog sustava, 3. politika i organizacija sigurnosti i zaštite informacijskog sustava i podataka, 4. primjerenost vanjskih, sistemskih i ostalih kontrola, 5. tehnološka opremljenost. Zakon o elektroničkim komunikacijama, Članak 109. Operatori javnih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga obvezni su zadržati podatke o elektroničkim komunikacijama iz članka 110. ovoga Zakona u svrhu omogućivanja provedbe istrage, otkrivanja i kaznenog progona kaznenih djela u skladu s posebnim zakonom iz područja kaznenog postupka te u svrhu zaštite obrane i nacionalne sigurnosti u skladu s posebnim zakonima iz područja obrane i nacionalne sigurnosti. Zakon o elektroničkim komunikacijama, Članak 110. Obveza zadržavanja podataka iz članka 109. ovoga Zakona obuhvaća sljedeće vrste podataka: – podatke potrebne za praćenje i utvrñivanje izvora komunikacije, – podatke potrebne za utvrñivanje odredišta komunikacije, – podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije, – podatke potrebne za utvrñivanje vrste komunikacije, – podatke potrebne za utvrñivanje korisničke komunikacijske opreme ili opreme koja se smatra korisničkom komunikacijskom opremom, – podatke potrebne za utvrñivanje lokacije pokretne komunikacijske opreme. Sukladnost – Rizici – Upravljanje rizicima Najbolje prakse – proceduralni, organizacijski i tehnički sigurnosni mehanizmi - kontrole: • • • • • Pomoć pri obavljanju poslovne aktivnosti Jednostavnost uporabe Transparentnost prema korisniku Relativna snaga rješenja Vrsta kontrole: – – – – – – – Prevencija Upozorenje Detekcija Oporavak Korekcija Nadzor Podizanje svijesti Skupljanje logova = detekcija problema Pametna analiza logova = prevencija problema • ISO 27002:2007, 10.10. “Nadzor”: Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija. Potrebno je nadzirati sustave i voditi zapise o dogañajima informacijske sigurnosti. Za prepoznavanje problema informacijskih sustava potrebno je koristiti zapise operatera i zapise o zastojima. Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti nadzora i voñenja zapisa. Nadzor sustava treba koristiti za provjeru učinkovitosti prihvaćenih kontrola i usklañenosti sa modelom politike pristupa. ISO 27002, Kontrola 10.10.1.: Revizijski zapisi: Potrebno je voditi i odreñeno dogovoreno vrijeme čuvati revizijske zapise korisničkih aktivnosti, izuzetaka i sigurnosnih dogañaja radi buduće istrage i nadzora kontrole pristupa. ISO 27002, Kontrola 10.10.4.: Zapisi administratora i operatera: Potrebno je voditi zapise aktivnosti administratora i operatera sustava. ISO 27002, Kontrola 10.10.5.: Zapisi o zastojima: Potrebno je bilježiti zastoje koje prijavljuju korisnici ili sistemski programi u vezi problema s obradom informacija ili komunikacijskim sustavima i poduzimati odgovarajuće akcije. ISO 27002, 10.10.2: Nadzor uporabe sustava: Pomoću procjene rizika potrebno je odrediti razinu potrebnog nadzora pojedine opreme. Neka od područja nadzora: • • • • • • • • • • • • identifikacija korisnika datoteke kojima su korisnici pristupali programi/uslužni programi koji su korisnici koristili uporaba povlaštenih korisničkih računa pokretanje i zaustavljanje sustava priključenje/odspajanje ulazno-izlaznih ureñaja neuspjele ili odbijene akcije korisnika povrede politike pristupa upozorenja sustava za otkrivanje upada upravljanje mrežom sustav za kontrolu pristupa promjene ili pokušaje promjena sigurnosnih postavki i kontrola sustava Kako postići učinkovito upravljanje logovima? • • • • Pomoć pri obavljanju poslovne aktivnosti Jednostavnost uporabe Transparentnost prema korisniku Relativna snaga rješenja Hvala na pažnji! biljana.cerin@snt.hr vojkovic@vip.hr www.snt.hr 33
© Copyright 2024 Paperzz