Pravni propisi i sigurnost informacijskih sustava

Zakonski i podzakonski propisi i
sigurnost informacijskih sustava
Biljana Cerin, CISA, CISM, CBCP, PMP
Dr. sc. Goran Vojković, dipl.iur.
www.snt.hr
1
Kategorije zaštite podataka
• Zakon o tajnosti
podataka
• Zakon o zaštiti
osobnih podataka
• Zakon o zaštiti
tajnosti podataka
Država: “Mi štitimo svoje podatke"
• Zakon o tajnosti podataka (NN 79/07)
– Ovaj Zakon se primjenjuje na državna tijela, tijela
jedinica lokalne i područne (regionalne)
samouprave, pravne osobe s javnim ovlastima te
pravne i fizičke osobe koje, u skladu sa ovim
Zakonom, ostvare pristup ili postupaju s
klasificiranim i neklasificiranim podacima.
Klasificirani i neklasificirani podaci
• klasificirani podatak je onaj koji je nadležno tijelo, u
propisanom postupku, takvim označilo i za koji je
utvrñen stupanj tajnosti, kao i podatak kojeg je
Republici Hrvatskoj tako označenog predala druga
država, meñunarodna organizacija ili institucija s
kojom Republika Hrvatska surañuje
• neklasificirani podatak je podatak bez utvrñenog
stupnja tajnosti, koji se koristi u službene svrhe, kao i
podatak koji je Republici Hrvatskoj tako označenog
predala druga država, meñunarodna organizacija ili
institucija s kojom Republika Hrvatska surañuje
Stupnjevanje klasificiranih podataka
• Stupnjevi tajnosti
klasificiranih podataka
su:
- VRLO TAJNO
- TAJNO
- POVJERLJIVO
- OGRANIČENO
Sukladno NATO klasifikaciji!
Uredba o mjerama informacijske sigurnosti
• Za zaštitu neklasificiranih podataka, tijela i pravne
osobe i primjenjuju odgovarajući skup mjera
informacijske sigurnosti, sukladno normama za
upravljanje informacijskom sigurnošću, HRN ISO/IEC
27001 i HRN ISO/IEC 17799.
• Za zaštitu klasificiranih podataka stupnja tajnosti
»Ograničeno«, primjenjuju se dodatno i druge mjere
propisane ovom Uredbom, drugim propisima ili
meñunarodnim ugovorima.
Područja informacijske sigurnosti – prema Uredbi
• Područja informacijske sigurnosti za koja se propisuju
mjere i standardi informacijske sigurnosti su:
1. sigurnosna provjera,
2. fizička sigurnost,
3. sigurnost podatka,
4. sigurnost informacijskog sustava i
5. sigurnost poslovne suradnje.
Sigurnosna provjera
• Sigurnosna provjera je posao državnih tijela – no
obveznici Uredbe vode odgovarajuće registre.
• Tijela i pravne osobe obveznici ove Uredbe, koja
postupaju s klasificiranim podacima »Vrlo tajno«,
»Tajno« i »Povjerljivo«, dužna su voditi registar
zaprimljenih certifikata i potpisanih izjava o postupanju
s klasificiranim podacima.
• Tijela i pravne osobe obveznici ove Uredbe, koja
postupaju s klasificiranim podacima stupnja tajnosti
»Ograničeno«, dužna su voditi registar potpisanih
izjava o postupanju s klasificiranim podacima.
Fizička sigurnost
• Mjere informacijske sigurnosti za područje fizičke sigurnosti su:
višestruka zaštita; sigurnosne zone; administrativne zone; plan fizičke
sigurnosti; procjena učinkovitosti mjera fizičke sigurnosti; kontrola
osoba; pohrana klasificiranih i neklasificiranih podataka; tehnički
sigurni prostori; fizička sigurnost informacijskih sustava; oprema za
fizičku zaštitu klasificiranih podataka.
• Mjere fizičke sigurnosti odreñuju se tako da se uzima u obzir: stupanj
tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja
za pristup klasificiranim podacima, te sigurnosna prosudbu o
mogućim ugrozama.
• Ne postoje opća „generalna“ rješenja – ove mjere se prilagoñavaju
konkretnoj organizaciji!
• Sigurnosna zona I, Sigurnosna zona II, Administrativna zona…
Sigurnost podataka
• Mjere informacijske sigurnosti za područje sigurnosti
podataka su:
– klasificiranje i deklasificiranje podataka;
– označavanje podataka;
– pristup podacima;
– zaštita podataka;
– sustav registara;
– evidencija korištenja klasificiranih podataka;
– postupanje u izvanrednim situacijama;
– ustupanje klasificiranih podataka drugoj državi ili
meñunarodnoj organizaciji.
Sigurnost informacijskog sustava
• Mjere informacijske sigurnosti za područje sigurnosti
informacijskog sustava su:
– mjere zaštite informacijskog sustava,
– upravljanje sviješću o sigurnosti i
– planiranje djelovanja u izvanrednim okolnostima.
Sigurnost poslovne suradnje
• Mjere informacijske sigurnosti za područje sigurnosti
poslovne suradnje su:
– sklapanje klasificiranih ugovora;
– certifikat poslovne sigurnosti;
– sigurnosni uvjeti za sklapanje klasificiranih
ugovora;
– prijevoz klasificiranog materijala;
– pristup klasificiranim podacima prilikom
meñunarodnih posjeta;
– razmjena osoba u sklopu projekata ili programa.
Osobni podaci – štite se u svakom
slučaju
• Zakon o zaštiti
osobnih podataka,
NN103/03, 118/06,
41/08
• Uredba o načinu
pohranjivanja i
posebnim mjerama
tehničke zaštite
posebnih kategorija
osobnih podataka
(NN 139/04)
OSOBNI
PODACI
POSEBNE
KATEGORIJE
OSOBNIH
PODATAKA
Osobni podaci
• Osobni podatak je svaka informacija koja se odnosi na
identificiranu fizičku osobu ili fizičku osobu koja se može
identificirati (u daljnjem tekstu: ispitanik); osoba koja se
može identificirati je osoba čiji se identitet može utvrditi
izravno ili neizravno, posebno na osnovi identifikacijskog
broja ili jednog ili više obilježja specifičnih za njezin fizički,
psihološki, mentalni, gospodarski, kulturni ili socijalni
identitet.
• Obrada osobnih podataka je svaka radnja ili skup radnji
izvršenih na osobnim podacima, bilo automatskim
sredstvima ili ne, kao što je prikupljanje, snimanje,
organiziranje, spremanje, prilagodba ili izmjena,
povlačenje, uvid, korištenje, otkrivanje putem prijenosa,
objavljivanje ili na drugi način učinjenih dostupnim,
svrstavanje ili kombiniranje, blokiranje, brisanje ili
uništavanje, te provedba logičkih, matematičkih i drugih
operacija s tim podacima.
Posebne kategorije osobnih podataka
• Posebne kategorije osobnih podataka su podaci koji se
odnose na rasno ili etničko podrijetlo, politička stajališta,
vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje
ili spolni život i osobni podaci o kaznenom i prekršajnom
postupku.
• Prema Uredbi, Mjere, postupci i osobe ovlaštene za
osiguranje, pohranjivanje i zaštitu sustava odreñuju se,
ostvaruju i provjeravaju prema planu kojeg donosi
voditelj zbirke osobnih podataka a u skladu s
meñunarodnim preporukama za to područje (ISO
17799).
Poslovna tajna – vaša briga
• Zakon o tajnosti podataka nije regulirao područje
poslovne i profesionalne tajne, već je naveo da se za
navedene vrste tajni i dalje koristi već uvelike zastario
Zakon o zaštiti tajnosti podataka iz 1996. godine.
Takvo rješenje dovelo je do brojnih nejasnoća i loše
primjene u praksi.
• U zapadnim demokracijama tajnost podataka pravnih i
fizičkih osoba izvan državnog sustava (privatni sektor)
regulira se internim pravilima, u skladu i oslanjajući se
pri tom na pravni sustav države (zaštita intelektualnog
i industrijskog vlasništva, patenti i dr.).
O poslovnoj tajni
• Definicija: poslovnu tajnu predstavljaju podaci koji su
kao poslovna tajna odreñeni zakonom, drugim propisom
ili općim aktom trgovačkog društva, ustanove ili druge
pravne osobe, a koji predstavljaju proizvodnu tajnu,
rezultate istraživačkog ili konstrukcijskog rada te druge
podatke zbog čijeg bi priopćavanja neovlaštenoj osobi
mogle nastupiti štetne posljedice za njezine
gospodarske interese.
• Poslovna tajna mora biti regulirana internim aktom
organizacije – pravilnikom!
Zaštita poslovne tajne
• Ukoliko poslovna tajna nije na odgovarajući način
regulirana – ne mogu se sankcionirati osobe koje
ju učine javno dostupnom ili otuñe.
• Regulacija se mora prilagoditi odredbama već
uvelike zastarjelog Zakona o zaštiti tajnosti
podataka.
• Tehnički zaštititi podatke,
podatke, a pravno ne regulirati
poslovnu tajnu – znači ostaviti podatke otvorenima.
Pitanju zaštite poslovnih podataka organizacije se
pristupa integralno.
Ali to nije sve!
• Hrvatska narodna
banka
• Hrvatska agencija za
nadzor financijskih
usluga
• Temeljem javnih
ovlasti donose pravila
koja dodatno
reguliraju materiju
tajnosti podataka!
Ali, ni to nije sve!
• Pružatelji usluga iz područja
telekomunikacija, farmacije,
zdravstva moraju ispuniti i
dodatna pravila posebnih
zakona i podzakonskih
akata vezana uz tajnost
podataka.
• Gore navedeno se odnosi i
na organizacije koje u svom
radu koriste vlastite
komunikacijske sustave ili
imaju zdravstvenu i sličnu
službu.
Skupljanje i analiza “logova” – zašto nam to treba?
Sigurnost radi Sukladnosti?
ili
Sukladnost radi Sigurnosti?
Uredba o mjerama informacijske sigurnosti,
Članak 54.
• Kontrola uporabe informacijskih sustava
podrazumijeva evidentiranje aktivnosti korisnika
informacijskog sustava.
• Pored aktivnosti iz stavka 1. ovog članka, primjenjuju
se mjere za spriječavanje zlouporabe informacijskih
sustava kroz instaliranje sustava za otkrivanje
neovlaštenog upada u mrežu, definiranje,
pregledavanje i analiziranje zapisnika rada sustava i
provoñenje analiza ranjivosti informacijskog sustava.
HNB odluka o primjerenom upravjanju informacijskim
sustavom,
Članak 20.
• Banka je dužna uspostaviti sustav upravljanja
korisničkim pravima pristupa koji obuhvaća procese
evidentiranja, autorizacije, identifikacije i autentifikacije
te nadzora korisničkih prava pristupa.
Payment Card Industry Data Security Standard.
PCI DSS:
• Regularly Monitor and Test Networks
• Requirement 10: Track and monitor all access to
network resources and cardholder data
Logging mechanisms and the ability to track user
activities are critical. The presence of logs in all
environments allows thorough tracking and analysis
when something goes wrong. Determining the cause
of the compromise is very difficult without system
activity logs.
HANFA Pravilnik – revizorski pregled i izvješće,
Članak 15.
Izvješće o kvaliteti informatičkog sustava u društvu za osiguranje
sadržava ocjenu i preporuke slijedećih područja:
1. usklañenost djelovanja informatičkog sustava s poslovnim
ciljem,
2. učinkovitost djelovanja informatičkog sustava,
3. politika i organizacija sigurnosti i zaštite informacijskog sustava
i podataka,
4. primjerenost vanjskih, sistemskih i ostalih kontrola,
5. tehnološka opremljenost.
Zakon o elektroničkim komunikacijama,
Članak 109.
Operatori javnih komunikacijskih mreža i javno
dostupnih elektroničkih komunikacijskih usluga
obvezni su zadržati podatke o elektroničkim
komunikacijama iz članka 110. ovoga Zakona u svrhu
omogućivanja provedbe istrage, otkrivanja i kaznenog
progona kaznenih djela u skladu s posebnim zakonom
iz područja kaznenog postupka te u svrhu zaštite
obrane i nacionalne sigurnosti u skladu s posebnim
zakonima iz područja obrane i nacionalne sigurnosti.
Zakon o elektroničkim komunikacijama,
Članak 110.
Obveza zadržavanja podataka iz članka 109. ovoga Zakona
obuhvaća sljedeće vrste podataka:
– podatke potrebne za praćenje i utvrñivanje izvora komunikacije,
– podatke potrebne za utvrñivanje odredišta komunikacije,
– podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije,
– podatke potrebne za utvrñivanje vrste komunikacije,
– podatke potrebne za utvrñivanje korisničke komunikacijske opreme ili opreme
koja se smatra korisničkom komunikacijskom opremom,
– podatke potrebne za utvrñivanje lokacije pokretne komunikacijske opreme.
Sukladnost – Rizici – Upravljanje rizicima
Najbolje prakse – proceduralni, organizacijski i tehnički
sigurnosni mehanizmi - kontrole:
•
•
•
•
•
Pomoć pri obavljanju poslovne aktivnosti
Jednostavnost uporabe
Transparentnost prema korisniku
Relativna snaga rješenja
Vrsta kontrole:
–
–
–
–
–
–
–
Prevencija
Upozorenje
Detekcija
Oporavak
Korekcija
Nadzor
Podizanje svijesti
Skupljanje logova = detekcija problema
Pametna analiza logova = prevencija problema
• ISO 27002:2007, 10.10. “Nadzor”:
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Potrebno je nadzirati sustave i voditi zapise o dogañajima informacijske
sigurnosti. Za prepoznavanje problema informacijskih sustava potrebno je
koristiti zapise operatera i zapise o zastojima.
Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti
nadzora i voñenja zapisa.
Nadzor sustava treba koristiti za provjeru učinkovitosti prihvaćenih kontrola i
usklañenosti sa modelom politike pristupa.
ISO 27002, Kontrola 10.10.1.: Revizijski zapisi:
Potrebno je voditi i odreñeno dogovoreno vrijeme čuvati revizijske
zapise korisničkih aktivnosti, izuzetaka i sigurnosnih dogañaja
radi buduće istrage i nadzora kontrole pristupa.
ISO 27002, Kontrola 10.10.4.: Zapisi administratora i
operatera:
Potrebno je voditi zapise aktivnosti administratora i operatera
sustava.
ISO 27002, Kontrola 10.10.5.: Zapisi o zastojima:
Potrebno je bilježiti zastoje koje prijavljuju korisnici ili sistemski
programi u vezi problema s obradom informacija ili
komunikacijskim sustavima i poduzimati odgovarajuće akcije.
ISO 27002, 10.10.2: Nadzor uporabe sustava:
Pomoću procjene rizika potrebno je odrediti razinu potrebnog
nadzora pojedine opreme. Neka od područja nadzora:
•
•
•
•
•
•
•
•
•
•
•
•
identifikacija korisnika
datoteke kojima su korisnici pristupali
programi/uslužni programi koji su korisnici koristili
uporaba povlaštenih korisničkih računa
pokretanje i zaustavljanje sustava
priključenje/odspajanje ulazno-izlaznih ureñaja
neuspjele ili odbijene akcije korisnika
povrede politike pristupa
upozorenja sustava za otkrivanje upada
upravljanje mrežom
sustav za kontrolu pristupa
promjene ili pokušaje promjena sigurnosnih postavki i kontrola sustava
Kako postići učinkovito upravljanje
logovima?
•
•
•
•
Pomoć pri obavljanju poslovne aktivnosti
Jednostavnost uporabe
Transparentnost prema korisniku
Relativna snaga rješenja
Hvala na pažnji!
biljana.cerin@snt.hr
vojkovic@vip.hr
www.snt.hr
33