Zakonska regulativa informacijske sigurnosti Aco Dmitrovi hgicgs hr

Zakonska regulativa informacijske sigurnosti Aco Dmitrović @hgi-cgs. hr 1

2

Vrijedi za sve organizacije • Zakon o elektroničkom potpisu (NN 10/02) • Zakon o elektroničkoj ispravi (NN 150/05) • Zakon o zaštiti osobnih podataka (NN 103/03) – Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) • Zakon o pravu na pristup informacijama (NN 172/03) 3

TDV i lokalne samouprave • • Zakon o sigurnosno-obavještajnom sustavu (NN 32/02) Zakon o sigurnosnim službama (NN 32/02) Zakon o tajnosti podataka (NN 79/07) Zakon o informacijskoj sigurnosti (NN 79/07) – Uredba o mjerama informacijske sigurnosti (NN 46/08) – Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima (NN 72/07) – Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07) – Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08) 4

Banke i kreditne organizacije • Odluka o primjerenom upravljanju informacijskim sustavom (HNB, NN 80/07) • Smjernice za adekvatno upravljanje rizikom eksternalizacije (HNB listopad 2005. ) • Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (HNB ožujak 2006. ) • Smjernice za ovladavanje rizikom informacijskog sustava u kreditnim unijama (HNB studeni 2007) 5

Ostale financijske institucije • Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog pregleda i revizorskog izvješća društava za osiguranje (NN 76/06) • Pravilnik o uvjetima za obavljanje poslova ovlaštenog društva (NN 14/07) • Pravilnik kojim se uređuje poslovanje društva za upravljanje investicijskim fondovima (NN 25/07) 6

Djelomično… • Kazneni zakon (110/97) • Zakon o obveznim odnosima (NN 35/5) • Zakon o arhivskom gradivu i arhivima (NN 105/97) • Zakon o zaštiti i spašavanju (NN 174/04) • Zakon o elektroničkoj trgovini (NN 173/03) 7

Zakon o zaštiti i spašavanju • NN 174/04 Čl. 18 Pravne osobe dužne su organizirati zaštitu i spašavanje od prijetnji i posljedica nesreća, većih nesreća i katastrofa i provoditi pripreme, poduzimati mjere pripravnosti i aktivnosti u katastrofama i otklanjanju posljedica te izvršavati druge obveze propisane ovim Zakonom, drugim propisima i svojim općim aktima • IT: Business Continuity Management 8

Kazneni zakon • NN 110/97, izmjene i dopune (NN: 27/98, 129/00, 51/01, 105/04 i 84/05) • 2004. dodana kaznena djela cyber-kriminala • čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava – Odredbe Konvencije o kibernetičkom kriminalitetu o tajnosti, nepovredivosti i dostupnosti podataka spremljenih na računalima i samih računala – Kazneni progon se vrši po službenoj dužnosti – Za inform. sigurnost relevantni članci 223 i 224 9

Zakon o obveznim odnosima • NN 35/05 Uređuje osnove obveznih odnosa (opći dio) te ugovorni i izvan ugovorni obvezni odnosi (posebni dio) • Ne sadrži kazne – nepoštivanje dovodi do odgovornosti za štetu – neka ponašanja mogu predstavljati kazneno djelo (npr. prijevara) • Za informacijsku sigurnost relevantan čl. 293. 10

Zakon o arhivskom gradivu i arhivima • NN 105/97 • Arhivsko je gradivo od interesa za Republiku Hrvatsku i ima njezinu osobitu zaštitu • Arhivsko i registraturno gradivo zaštićeno je bez obzira na to u čijem je vlasništvu ili posjedu, te je li registrirano ili evidentirano 11

• Registraturno gradivo je cjelina zapisa nastalih djelovanjem pravne ili fizičke osobe • Arhivsko gradivo nastaje odabirom iz registraturnog gradiva – od trajnog značenja za kulturu, povijest i druge znanosti • Arhivi su ustanove za čuvanje, zaštitu, obradu i korištenje AG • Pismohrana je ustrojstvena jedinica u kojoj se čuva AG do predaje nadležnom arhivu 12

Hrvatski državni arhiv • Vodi registar arhivskih fondova i zbirki • Vodi upisnik svih arhiva i vlasnika arhivskog gradiva • S ostalim arhivama – Provodi mjere zaštite AG i brine za njegovu sigurnost – Obavlja stručni nadzor – Obavlja sigurnosno i zaštitno snimanje, restauratorske i konzervatorske poslove 13

Zakon o elektroničkom potpisu NN 10/02 14

• Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta • Napredan elektronički potpis – pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4. 15

Čl. 4. Napredan elektronički potpis: 1. je povezan isključivo s potpisnikom 2. nedvojbeno identificira potpisnika 3. nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika 4. sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka 16

• Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata • Ne može se odbiti prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektroničkom obliku s elektroničkim potpisom • Iznimke: nekretnine, oporuke, (pred)bračni ugovori, darovanje imovine, nasljeđivanje… 17

Certifikat • Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa • Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis 18

Kvalificirani certifikat • • • oznaku o tome da se radi o kvalificiranom certifikatu, identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba), identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište). podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika, podatke o početku i kraju važenja certifikata, identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja), napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata, ograničenja vezana za uporabu certifikata, ako ih ima, ograničenja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima. 19

Ministarstvo gospodarstva • Vodi evidenciju o davateljima usluga certificiranja • Ministar gospodarstva pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispunjavanju uvjeta • Ne treba dozvola za obavljanje usluga certificiranja • Usluge certificiranja mogu obavljati samo registrirani/evidentirani davatelji usluga 20

Uvjeti • organizacija rada koja jamči kvalitetu • financijska i materijalna sredstva za trajnije izvođenje usluge certificiranja i pokrivanje šteta, osiguranje i sl. • Kvalificirano osoblje za tehničke poslove, vođenje registra i zaštitu osobnih podataka • tehničku i programsku osnovicu koja podržava međunarodne standarde • sustav fizičke zaštite uređaja, opreme i podataka • zaštitu od neovlaštenog pristupa i oštećenja informacija 21

Uvjeti… • osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata • osiguranu provjeru identiteta potpisnika • pouzdane mjere protiv krivotvorenja • osiguranje od rizika moguće štete • sustav pohrane • sigurnosni sustav – zaštita od neovlaštenog kopiranja, pristupa… – dostupnost samo za odobrenu svrhu • informiranje o točnim uvjetima korištenja 22

Zakon o elektroničkoj ispravi NN 150/05 23

Elektronička isprava • jednoznačno povezan cjelovit skup podataka koji su – elektronički oblikovani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju – sadrži svojstva kojima se utvrđuje izvor (stvaratelj) – utvrđuje vjerodostojnost sadržaja – dokazuje postojanost sadržaja u vremenu • Sadržaj elektroničke isprave uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor. 24

Izvornik i kopije • Svaki pojedinačni primjerak elektroničke isprave koji je potpisan elektroničkim potpisom smatra se u smislu ovoga Zakona izvornikom • Elektronička isprava ne može imati elektroničku presliku (presliku u elektroničkom obliku) • Ako ista osoba izradi više isprava s istim sadržajem, u elektroničkom obliku i na papiru, te se isprave smatraju neovisnim – Isprava izrađena na papiru ne smatra se preslikom elektroničke isprave 25

Preslika na papiru • Izrađuje se ovjerom ispisa vanjskog obrasca prikaza elektroničke isprave na papiru uz primjenu postupaka predviđenih zakonom i drugim propisima • Ovjeru ispisa obavljaju – ovlaštene osobe u tijelima javne vlasti – javni bilježnik • Ispis na papiru mora sadržavati oznaku da se radi o preslici elektroničke isprave 26

Čuvanje elektroničkih isprava • u informacijskom sustavu ili na medijima koji omogućuju trajnost elektroničkog zapisa za utvrđeno vrijeme čuvanja i čine elektroničku arhivu • u čitljivom obliku za cijelo vrijeme čuvanja dostupne ovlaštenim osobama • čuvaju se podaci o elektroničkim potpisima • vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme, način i oblik u kojem je zaprimljena u sustav na čuvanje • pohranjene uz razumno jamstvo da ne mogu biti mijenjane i da se ne mogu neovlašteno brisati • postupci održavanja i zamjene medija za pohranu elektroničkih isprava ne narušavaju cjelovitost i nepovredivost elektroničkih isprava 27

Zakon o tajnosti podataka NN 79/07 28

Podatak • Dokument, odnosno svaki napisani, umnoženi, nacrtani, slikovni, tiskani, snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podatka, saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija, koja s obzirom na svoj sadržaj ima važnost povjerljivosti i cjelovitosti za svoga vlasnika 29

Klasificirani podatak • Podatak koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen stupanj tajnosti • Podatak kojeg je Republici Hrvatskoj tako označenog predala druga država ili međunarodna organizacija 30

Neklasificirani podatak • Podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe • Podatak koji je Republici Hrvatskoj tako označenog predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje 31

Klasifikacija • Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze • Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran – postaje neklasificirani s ograničenom uporabom samo u službene svrhe 32

• Vlasnik podatka je nadležno tijelo u okviru čijeg djelovanja je klasificirani ili neklasificirani podatak nastao • Certifikat je uvjerenje o sigurnosnoj provjeri (osoblja) koje omogućava pristup klasificiranim podacima 33

Zloporaba • Klasificiranim podatkom ne može se proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim tijelima 34

Zakon o zaštiti tajnosti podataka (1996. ) • Propisuje vrste tajni – državna – službena – vojna – profesionalna – poslovna i stupnjeve tajnosti – vrlo tajno – povjerljivo 35

Zakon o tajnosti podataka (2007. ) • Za klasificirane podatke određuje samo stupnjeve tajnosti – Vrlo tajno – Tajno – Povjerljivo – Ograničeno 36

Uži opseg • Klasificirati se mogu podaci iz djelokruga državnih tijela u području obrane, sigurnosnoobavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva ukoliko su od sigurnosnog interesa za RH • Ne spominje se poslovna i profesionalna tajna – vrijede odredbe starog zakona – Ministarstvo pravosuđa treba prilagoditi zakone 37

Čl. 6. Vrlo tajno • Podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske, a osobito sljedećim vrijednostima: – temelji Ustavom utvrđenog ustrojstva RH – neovisnost, cjelovitost i sigurnost RH – međunarodni odnosi RH – obrambena sposobnost i sig-obavještajni sustav – sigurnost građana – osnove gospodarskog i financijskog sustava RH – znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH 38

Ostali stupnjevi tajnosti • TAJNO – podaci čije bi neovlašteno otkrivanje teško naštetilo vrijednostima iz čl. 6. • POVJERLJIVO – podaci čije bi neovlašteno otkrivanje naštetilo vrijednostima iz čl. 6. • OGRANIČENO – podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju zadaća državnih tijela 39

Postupak klasificiranja • Obavlja se pri nastanku podataka • Prilikom periodične procjene • Vlasnik podatka dužan je odrediti najniži stupanj tajnosti koji osigurava zaštitu interesa 40

Periodična procjena • • VRLO TAJNO najmanje jednom u 5 godina TAJNO najmanje jednom u 4 godine POVJERLJIVO najmanje jednom u 3 godine OGRANIČENO najmanje jednom u 2 godine • O promjeni stupnja tajnosti ili o deklasifikaciji podatka vlasnik će pisanim putem izvijestiti sva tijela kojima je podatak bio dostavljen 41

Interes javnosti • Vlasnik podatka dužan je ocijeniti razmjernost između prava na pristup informacijama i zaštite vrijednosti • Prije donošenja odluke vlasnik podatka je dužan zatražiti mišljenje Ureda Vijeća za nacionalnu sigurnost 42

Pristup • Pristup klasificiranim podacima – Osobe kojima je to nužno za obavljanje posla – Imaju izdano uvjerenje o obavljenoj sigurnosnoj provjeri (certifikat) • Organizacije podnose UVNS-u zahtjeve za izdavanje certifikata za zaposlenike, koji bi u okviru svog djelokruga trebali imati pravo pristupa klasificiranim podacima 43

Trajanje certifikata • Certifikat se izdaje, ako ne postoje sigurnosne zapreke, na rok od pet godina za stupnjeve – Vrlo tajno – Tajno – Povjerljivo 44

Zakon o informacijskoj sigurnosti NN 79/07 45

Opseg • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima koje u svom djelokrugu koriste klasificirane i neklasificirane podatke • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima 46

Izvan opsega • ZIS se ne primjenjuje na IS pravnih i fizičkih osoba koje ne dolaze u dodir s podacima od javnog značenja – Trgovačka društva, banke itd. • Kod njih je primjena pravila i dobre prakse koju ZIS propisuje dobrovoljna 47

Međunarodna praksa • Upravljanje sigurnošću na razini države: • Središnje državno tijelo za IS – National Security Authority – NSA • Središnje tijelo za tehnička područja IS – National Communication Security Authority NCSA – ili Info. Sec Authority - IA 48

RH • Ured Vijeća za nacionalnu sigurnost – UVNS - naš NSA • Zavod za sigurnost informacijskih sustava – ZSIS - naš NCSA, za tehnička pitanja 49

Informacijska sigurnost • Stanje povjerljivosti, cjelovitosti i raspoloživosti podataka • Postiže se primjenom propisa i standarda IS i organizacijskom podrškom • Mjere IS su pravila zaštite podataka na fizičkoj, tehničkoj i organizacijskoj razini 50

Područja IS • • • Provjere osoblja Fizička sigurnost Sigurnost podataka Sigurnost informacijskih sustava Sigurnost vanjske suradnje – industrijska sigurnost 51

Akreditacija • Sigurnosna akreditacija informacijskog sustava je postupak utvrđivanja osposobljenosti tijela i pravnih osoba za upravljanje sigurnošću informacijskih sustava 52

Mjere i standardi • informacijske sigurnosti propisati će se vladinom Uredbom • Standardi za provedbu mjera propisat će se pravilnicima koje donose čelnici središnjih državnih tijela za informacijsku sigurnost 53

UVNS • Donosi pravilnike o standardima za 5 područja IS • Koordinacija u primjeni mjera i donošenje standarda IS u tijelima javne vlasti • Primjena mjera i standarda IS u razmjeni klasificiranih podataka između RH i stranih zemalja i organizacija • Vršno tijelo za nacionalni normizacijski proces 54

Nadležnost ZSIS-a • Središnje državno tijelo za tehnička područja IS – Standardi sigurnosti IS – Sigurnosne akreditacije IS – Upravljanje kriptomaterijalima u razmjeni klasificiranih podataka – Koordinacija prevencije i odgovora na ugroze sigurnosti IS 55

Nacionalni CERT • Novo nacionalno tijelo za prevenciju i odgovor na računalne ugroze • Izrasta iz CARNetova CERT-a • Prevencija (sigurnosna upozorenja) • Postupanja u slučaju incidenta 56

Provedba • Obveza provođenja propisanih standarda IS temeljem pravilnika koje donose UVNS i ZSIS • U tijelima javne vlasti koji nemaju IT službe, nadležan je SDUe. H koji koristi usluge tijela za potporu IT sustava • U okviru obrazovnog i akademskog sektora nadležno je MZOŠ koje koristi usluge CARNeta i Srca 57

Nadzor • Nadzor organizacije, provedbe, stanja i učinkovitosti propisanih mjera i standarda • Nadzor provode savjetnici za informacijsku sigurnost • UVNS će propisati kriterije za ustrojavanje radnih mjesta 58

Prateći pravilnici • Zakon zadaje rokove za donošenje pravilnika koji će konkretizirati zahtjeve i propisati mjere i standarde informacijske sigurnosti 59

Uredba o mjerama informacijske sigurnosti NN 46/08 60

Čl. 1. • Uredbom se utvrđuju mjere informacijske sigurnosti za postupanje s klasificiranim i neklasificiranim podacima. • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave, te na pravne osobe s javnim ovlastima • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima 61

Čl. 2. - Definicije • Klasificirani ugovor – kojim se razmjenjuju klasificirani podaci • Kriptomaterijali – kriptografski proizvodi i podaci, programska rješenja ili uređaji za zaštitu podataka, tehnička dokumentacija, ključevi • Opća razina zaštite – skup mjera i standarda propisan za stupnjeve tajnosti 62

Akreditacija • Sigurnosna akreditacija sustava registrara – utvrđivanje da li su primijenjene mjere i standardi IS propisane za – Organizaciju rada – Osoblje – Prostor – Informacijske sustave – Klasificirane podatke 63

• Ugroza (prijetnja) – potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili informacijskom sustavu • Upravljanje rizikom IS – sustavan pristup koji uključuje planiranje, organiziranje i usmjeravanje aktivnosti, da bi rizici za klasificirane podatke ostali u utvrđenim i prihvatljivim okvirima 64

Pristup klasificiranim podacima • Vrlo tajno, Tajno i Povjerljivo – osoba koja je certificirana • Ograničeno – osoba upoznata s načinom postupanja s klasificiranim podacima – nužno za obavljanje posla – temeljem ovlasti čelnika 65

Razmjena • Klasificiran podatak može se dostavljati drugim tijelima i pravnim osobama samo uz prethodnu suglasnost vlasnika podatka • Samo s državama i međunarodnim org. koje su potpisale ugovor o uzajamnoj zaštiti kl. pod. • Iznimno unutar međunarodne suradnje koja uključuje razmjenu klasificiranih podataka • Evidenciju ugovora vodi UVNS 66

Neklasificirano • Bez oznake – nema ograničenja uporabe i pristupa – javni podaci (cjelovitost i dostupnost) • Oznaka neklasificirano – samo u službene svrhe – dostupan samo fizičkim osobama, tijelima i pravnim osobama koje imaju potrebu korištenja radi obavljanja posla • non-classified, unclassified 67

Mjere zaštite • Za zaštitu neklasificiranih podataka – ISO 27001 – ISO 17799 -> 27002 • Za oznaku Ograničeno – Isto, uz dodatne mjere • Savjetnik za informacijsku sigurnost redovito provjerava usklađenost informacijskog sustava s propisanim normama, mjerama i standardima IS 68

Ujednačenost zaštite • Tijela i pravne osobe koje postupaju s klasificiranim i neklasificiranim podacima primjenjuju propisane mjere informacijske sigurnosti radi osiguravanja ujednačene razine zaštite 69

Mjere IS • Za područja IS 1. 2. 3. 4. 5. Sigurnosna provjera Fizička sigurnost Sigurnost podataka Sigurnost informacijskog sustava Sigurnost poslovne suradnje 70

Sigurnosna provjera • Popis dužnosti i poslova za koje je potrebno uvjerenje o sigurnosnoj provjeri • Postupak za izdavanje certifikata • Upitnik za sigurnosnu provjeru • Pisana suglasnost osobe koju se provjerava • Izdavanje certifikata • Sigurnosno informiranje • Nacionalni registar izdanih, odbijenih certifikata, potpisanih izjava • Registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima 71

• Sve osobe koje imaju pristup klasificiranim podacima dužne su najmanje jednom godišnje pristupati sigurnosnom informiranju o propisanim mjerama i standardima IS • Potpisati izjavu o postupanju s klasificiranim podacima 72

Sigurnosno informiranje • UVNS za pristupnjevima Vrlo tajno, Tajno i Povjerljivo • Ograničeno – Savjetnici za informacijsku sigurnost – Ili drugi sigurnosni koordinatori koje tijela ili pravne osobe odrede 73

Fizička sigurnost • Lokacije u kojima se čuvaju ili obrađuju klasificirani podaci štite se mjerama fizičke sigurnosti • Radi: – Sprečavanja neovlaštenog ulaska – Sprečavanja zloporaba zaposlenika – Razdvajanja zaposlenika prema ovlastima – Otkrivanja sigurnosnih ugroza i reakcija 74

Mjere fizičke sigurnosti • • • višestruka zaštita sigurnosne zone administrativne zone plan fizičke sigurnosti procjena učinkovitosti mjera fizičke sigurnosti kontrola osoba pohrana klasificiranih i neklasificiranih podataka tehnički sigurni prostori fizička sigurnost informacijskih sustava oprema za fizičku zaštitu klasificiranih podataka 75

Sigurnosne zone • Prostori u kojima se čuvaju klasificirani podaci stupnjeva Vrlo tajno, Tajno i Povjerljivo ustrojavaju se kao sigurnosna zona I ili II • Zona I je jasno označen i zaštićen prostor s kontrolom pristupa samo osobama koje imaju certifikat i ovlaštenje • Zona II – pristup dozvoljen uz pratnju i nadzor kada postoji opravdan razlog 76

Administrativne zone • Klasificirani podaci oznake Ograničeno i Neklasificirano • Vidljivo označen prostor s kontrolom pristupa osoba i vozila 77

… • Plan fizičke sigurnosti • Procjena učinkovitosti mjera fizičke sigurnosti • Kontrola osoba • Fizička sigurnost informacijskih sustava – Unutar sigurnih zona 78

Pohrana • Pohrana klasificiranih podataka u sigurnim zonama • Vrlo tajno – Sigurnosni spremnik s detekcijom neovlaštenog pristupa – Stalna zaštita uz periodični nadzor • Tajno – Sigurnosni spremnik ili prostor za otvorenu pohranu uz stalnu zaštitu • Povjerljivo – sigurnosni spremnik • Ograničeno i neklasificirano – zaključano u uredskom namještaju 79

Sigurnost podataka • Mjere – Klasificiranje i deklasificiranje – Označavanje podataka – Pristup podacima – Zaštita podataka – Sustav registrara – Evidencija korištenja – Postupanje u izvanrednim situacijama – Ustupanje klasificiranih podataka 80

Sigurnost informacijskih sustava • Mjere – Mjere zaštite informacijskog sustava – Upravljanje sviješću o sigurnosti – Planiranje djelovanja u izvanrednim okolnostima 81

• Mjere zaštite informacijskog sustava – Zaštita hardvera, softvera i medija – Upravljanje konfiguracijom i sustavom korisničkog pristupa – Kontrola povezivanja i uporabe IS – Zaštita od rizika elektromagnetskog zračenja – Primjena kriptografske zaštite 82

Sigurnost poslovne suradnje • Mjere – Sklapanje klasificiranih ugovora – Razmatranje sigurnosnih aspekata u svim fazama životnog ciklusa IS – Definiranje odgovornosti za provedbu svake od mjera – Redovita kontrola provedbe 83

Certifikat poslovne sigurnosti • Pravne osobe koje sudjeluju u međunarodnim klasificiranim ugovorima podnose UVNS-u zahtjev iz izdavanje certifikata • Ugovor UVNS-a i pravne osobe • Sigurnosna provjera pravne osobe – Provjera strukture vlasništva – Provjera osoblja koje će pristupati kl. pod. – Provjera savjetnika za informacijsku sigurnost 84

Upravljanje rizikom • Procjena rizika – popis prijetnji – prioriteti prijetnji • Obrada rizika – prihvaćanje rizika – smanjivanje rizika primjenom kontrola – prebacivanje rizika na treću stranu 85

Nadzor • Nadzor mjera i standarda IS • U tijelima i pravnim osobama koje koriste – klasificirane i neklasificirane podatke • savjetnici za informacijsku sigurnost – klasificirane podatke • UVNS – vrlo tajno, povjerljivo - najmanje jednom u 2 god. – ograničeno - najmanje jednom u 4 god. 86

87

Zakon o zaštiti osobnih podataka NN 103/03 Dopune NN 41/08 88

Zaštita privatnosti građana • Relativno nova civilizacijska i pravna stečevina • Filozofske teze – Na pr. Sokratov daimon • Pravno izvorište kodificirano međunarodnim konvencijama 89

• Opća konvencija Ujedinjenih naroda o ljudskim pravima (1948. ). “Nitko ne smije biti izvrgnut samovoljnom miješanju u njegov/njezin privatni život, obitelj, dom i prepisku, niti napadima na njegovu/njezinu čast i ugled. ” • Evropska konvencija o ljudskim pravima (1950. ). 90

Aspekti privatnosti • • • Tjelesna privatnost Prostorna privatnost Informacijska privatnost Komunikacijska privatnost Medijska privatnost 91

Domaći pravni izvori • Ustav Republike Hrvatske – Čl. 23. - fizička zaštita pojedinca – Čl. 34. - nedopušteno miješanje u obiteljsko i drugo okruženje – Čl. 37. - tajnost i zaštita osobnih podataka 92

Kazneni zakon • Čl. 130. - povreda tajnosti pisama i drugih pošiljaka • Čl. 131. - neovlašteno snimanje i prisluškivanje • Čl. 132. - neovlašteno otkrivanje profesionalne tajne • Čl. 133. - nedozvoljena uporaba osobnih podataka 93

Kazneni zakon • Čl. 130. - povreda tajnosti pisama i drugih pošiljaka • Čl. 131. - neovlašteno snimanje i prisluškivanje • Čl. 132. - neovlašteno otkrivanje profesionalne tajne • Čl. 133. - nedozvoljena uporaba osobnih podataka 94

Drugi propisi • Reguliraju dodirna područja: 1. 2. 3. 4. 5. 6. 7. Zakon o radu Zakon odgovornosti pravnih osoba za kaznena djela Zakon o telekomunikacijama Zakon o elektroničkoj trgovini Zakon o zaštiti potrošača Zakon o pravu na pristup informacijama Zakon o potvrđivanju Konvencije o kibernetičkom kriminalu 8. EU Directive on Privacy and Electronic Communications (E- Privacy Directive 2002) i t. d. 95

Zakon o zaštiti osobnih podataka • Uređuje se zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj 96

Osobni podatak • Svaki podatak koji se odnosi na identificiranu fizičku osobu ili fizičku osobu (ispitanik) koja se može identificirati • Identitet se može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet. 97

Obrada osobnih podataka • Svaka radnja izvršena na osobnim podacima, bilo automatskim sredstvima ili ne, prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih ili drugih operacija s tim podacima 98

Zbirka osobnih podataka • Svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi temeljem drugih tehničkih pomagala ili ručno 99

Voditelj zbirke osobnih podataka • Fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu ili način obrade osobnih podataka • Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka 100

Izvršitelj obrade • Voditelj zbirke može u svezi s obradom ugovorom pojedine poslove iz svog djelokruga povjeriti drugoj fizičkoj ili pravnoj osobi – izvršitelju obrade 101

Korisnik • je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci mogu dati na korištenje radi obavljanja redovitih poslova u okviru njegove zakonom utvrđene djelatnosti 102

Privola ispitanika • Slobodno dano i izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih podataka u određene svrhe 103

Prikupljanje • Osobni podaci smiju su prikupljati samo – uz privolu ispitanika – u slučajevima predviđenim zakonom • Mogu se prikupljati jedino u svrhu s kojom je ispitanik upoznat i koja je izričito navedena • Osobni podaci moraju biti bitni za postizanje određene svrhe i ne smiju se prikupljati u opsegu većem nego što je nužno 104

Obrada… • Osobni podaci moraju biti točni, potpuni, ažurni • Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je potrebno za svrhu za koju su prikupljani • Smiju se obrađivati samo u svrhu za koju je ispitanik dao privolu • Voditelj zbirke podataka smije obrađivati osobne podatke samo uz uvjete utvrđene Zakonom o zaštiti osobnih podataka i za to odgovara 105

Obrada… • Ispitanik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade • Ispitanik ima pravo usprotiviti se obradi osobnih podataka u svrhe marketinga • Osobni podaci se bez privole ispitanika smiju obrađivati za potrebe povijesne, statističke ili znanstvene svrhe, ako su prije toga depersonalizirani 106

Posebne kategorije osobnih podataka Zabranjeno je prikupljanje i daljnja obrada podataka koji se odnose na: rasno ili etičko podrijetlo politička stajališta vjerska ili druga uvjerenja sindikalno članstvo zdravlje ili spolni život kazneni ili prekršajni postupak 107

Iznimka • Zabrana se ne odnosi na obrade u okviru ustanove, udruženja ili drugog neprofitnog tijela s političkom, vjerskom ili drugom svrhom pod uvjetom da se obrada odnosi isključivo na njihove članove te da podaci ne budu otkriveni trećoj strani bez prethodnog pristanka ispitanika 108

Zaštita ispitanika • Voditelj obrade dužan je u roku od 30 dana na zahtjev ispitanika: 1. Dostaviti potvrdu da li se osobni podaci ispitanika obrađuju ili ne 2. Obavijestiti u razumljivom obliku o podacima čija je obrada u tijeku i o izvoru tih podataka 3. Omogućiti uvid u evidenciju zbirke osobnih podataka i uvid u osobne podatke 109

Prava ispitanika… 4. Dostaviti izvatke, potvrde ili ispise osobnih podataka (ispitanika) s naznakom svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka 5. Dostaviti ispis podataka o tome tko je i za koje svrhe i po kojoj pravnoj osnovi dobio na korištenje podatke (ispitanika) 6. Dati obavijest o logici automatske obrade podataka (ispitanika) 110

Prava ispitatnika… 7. Na zahtjev ispitanika ili ako sam uoči da su podaci nepotpuni, netočni ili neažurni Voditelj obrade dužan je dopuniti, izmijeniti ili brisati nepotpune, netočne ili neažurne podatke 8. O izvršenoj dopuni, izmjeni ili brisanju nepotpunih, netočnih ili neažurnih podataka Voditelj obrade dužan je u roku od 30 dana izvijestiti osobu na koju se podaci odnose 9. Unaprijed obavijestiti ispitanika o namjeravanoj obradi osobnih podataka u svrhe marketinga 111

Kaznene odredbe • Novčanom kaznom od 20. 000, 00 do 40. 000, 00 kn kaznit će se: 1. Izvršitelj obrade koji prekorači granice svojih ovlasti 2. Voditelj zbirke koji ne uspostavi evidenciju 3. Voditelj zbirke koji ne osigura zaštitu 4. Voditelj zbirke koji onemogući Agenciju u nadzoru 112

UREDBA o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka NN 139/04 113

Definicije • Sustav za vođenje zbirke osobnih podataka sastoji se od – računalne – telekomunikacijske – upravljačke i programske opreme – osobnih podataka 114

Računala • Računalo za vođenje zbirke - ugrađena upravljačka i programska oprema sustava za vođenje zbirke osobnih podataka • Središnje računalo zbirke - ugrađena upravljačka i programska oprema za obradu i pohranu zbirke osobnih podataka • Razvojno računalo - upravljačka i programska oprema u razvitku, oprema koja se provjerava, te jednaka opremi ugrađenoj u računala za vođenje zbirke – Razvoj i testiranje 115

Admini • Administrator zbirke brine o sustavu za upravljanje zbirkama osobnih podataka i o svim vidovima osiguranja i pohranjivanja podataka • Administrator mrežnog sustava brine o TK opremi, pristupnim putevima, mreži, modemskim i drugim vezama između računalnih sustava • Administrator upravljačkog sustava osoba ovlaštena brinuti o ugradnji i ispravnom radu upravljačkog sustava 116

UPS • Uređaj za neprekidno napajanje omogućava nastavak rada nakon nestanka el. energije, tako da se poslovi u tijeku mogu završiti bez opasnosti za cjelovitost informacija 117

Backup & Restore • Pohranjivanje podataka je postupak pohranjivanja sigurnosnog primjerka podataka za slučaj gubitka, oštećenja ili uništenja podataka • Povrat pohranjenih podataka je postupak vraćanja podataka u prethodno stanje sa sigurnosnog primjerka – vraćeni podaci moraju biti u posljednjem sukladnom stanju i bez gubitka informacija 118

Oporavak sustava • Obnavljanje rada računalnog sustava je skup postupaka za povratak računalnog sustava i svih započetih poslova u posljednje sukladno stanje tog sustava. • Ponovno uključivanje sustava u rad je skup postupaka za uključivanje računalnog sustava u rad nakon neuobičajenog prekida rada tog sustava. 119

Modemski ulazi • Modemski priključci za pristup sustavu ne objavljuju se u telefonskim imenicima i ne smiju biti dostupni preko službe za davanje telefonskih brojeva. 120

Projekt • Smještanje, postavljanje i ugradnja računala i računalne mreže postavlja i ugrađuje stručna osoba uz odobrenje voditelja zbirke, u skladu s važećim normama, standardima i tehničkim uputama, prema projektu 121

Projektna dokumentacija • Po jedan primjerak projektne dokumentacije čuva se u radnim prostorijama – voditelja zbirke osobnih podataka – izvršitelja obrade (ukoliko postoji) – dostavlja na uvid Agenciji za zaštitu osobnih podataka 122

Zaštite • Računalo za vođenje zbirki i središnje računalo mora biti opremljeno: – mehanizmom za sigurnosno prijavljivanje za rad s mogućnošću pohrane podataka o prijavljivanju – mehanizmom za sprečavanje neovlaštenog iznosa i unosa podataka uporabom prijenosnih medija, komunikacijskih priključaka i priključaka za ispis podataka 123

Zaštite • Mehanizmom zaštite od računalnih virusa i drugih štetnih programa • Mehanizmom kriptološkog osiguranja podataka na prijenosnim medijima i u toku prijenosa podataka informatičkim i telekomunikacijskim sustavima 124

Pristup opremi • Računalna i telekomunikacijska oprema postavlja se i ugrađuje u posebno zaštićene prostorije određene projektom • Smiju ulaziti samo ovlaštene osobe • Voditelj zbirke ili izvršitelj obrade uz suglasnost voditelja određuje ovlaštene osobe 125

Fizička sigurnost • Prostorije s opremom moraju biti opremljene sustavom video nadzora i elektroničkim dvostranim sustavom za kontrolu prolaza 126

Pristup podacima • Pristup podacima dozvoljen je ovlaštenim zaposlenicima i ovlaštenim osobama zaduženim za održavanje i razvitak sustava (u daljnjem tekstu: ovlašteni stručnjaci) • Ovlaštenja dodjeljuje voditelj zbirke, ne voditelj obrade 127

ID • Pristup podacima dozvoljen je uporabom dodijeljenoga jedinstvenog korisničkog imena i propusnice • Ukinuto korisničko ime ne smije se dodijeliti drugoj osobi • Korisničko ime i pripadna propusnica ne smiju se odati i dati na uporabu drugoj osobi 128

IDS • Svaki pokušaj neovlaštenog pristupa sustavu mora biti automatski zabilježen korisničkim imenom, nadnevkom i vremenom, a ako je moguće i mjestom s kojeg je pristup pokušan • Izvršitelj obrade, administratori mreže, računala i zbirke, dužni su obavijestiti čelnika voditelja zbirke OP o svakom pokušaju neovlaštenog pristupa sustavu 129

Zaštita od požara • Oprema mora biti smještena u prostorijama koje imaju uređaje za otkrivanje požara i automatsku dojavu • Moraju imati uređaje za automatsko gašenje požara • Na lako uočljivim mjestima moraju biti izvješene upute o postupcima u slučaju izbijanja požara 130

Zračenja • U blizini računalne i telekomunikacijske opreme ne smije biti izvora – jakog električnog ili magnetskog polja – ionizirajućeg zračenja – elektrostatičkog elektriciteta 131

Klima • Mora se održavati – relativna vlažnost zraka 20 - 80% – temperatura između 5 i 30°C 132

Opasne tvari • U prostorijama s opremom i u blizini ne smiju se nalaziti nagrizajuće i lakohlapljive tekućine, eksplozivna sredstva i slične opasne ili štetne tvari 133

Prašina • Odstraniti uređaje koji u zrak ispuštaju čestice prašine • Osjetljivi uređaji koji se hlade zrakom, moraju imati filtere za zrak • Uređaji za koje je to dopušteno tehničkim uputama moraju se pokrivati zaštitnim pokrovima kada nisu u uporabi 134

Rezervni položaj • U slučaju potresa i drugih elementarnih nepogoda, rata i neposredne ratne opasnosti voditelj zbirke dužan je odrediti premještanje računalno-komunikacijske opreme na predviđeno sigurno mjesto 135

Backup • Voditelj zbirke je dužan pohranjivati podatke na prenosive medije uporabom metoda koje jamče sigurnost i tajnost tako pohranjenih osobnih podataka • Za provedbu mjera pohranjivanja podataka odgovaraju administratori zbirki OP 136

Pohrana • Podaci se pohranjuju dnevno, tjedno, mjesečno i godišnje • dnevni backup sprema se u sef u radnoj prostoriji voditelja zbirke • tjedni backup sprema se na sigurno mjesto udaljeno najmanje 20 km • mjesečni i godišnji - najmanje 50 km 137

Backup lokacija • Mjesto spremanja podataka na prenosivim medijima mora biti osigurano od elementarnih nepogoda • Prenosivi mediji moraju biti spremljeni u vodootporni i vatrootporni sef • Za prenošenje medija koriste se vodootporni i vatrootporni kovčezi zaštićeni šifrom 138

Provjere • Godišnja kopija zbirke provjerava se najmanje jednom godišnje uz provjeru postupka povrata zbirki • Mediji se moraju obnoviti nakon isteka polovice zajamčenog roka trajanja zapisa na toj vrsti medija. • Uporabljivost mjesečne kopije provjerava se najmanje svakih šest mjeseci • Za provedbu mjera osiguranja, pohranjivanja i zaštite osobnih podataka odgovara administrator zbirki osobnih podataka 139

Ovlaštenja • Voditelj zbirke određuje – osobe ovlaštene za iznošenje podataka na prenosivim medijima i njihovo vraćanje – osobe ovlaštene za dodjeljivanje i uklanjanje korisničkih imena i propusnica 140

Potpis • Voditelj zbirke ustrojava sustav kriptološkog osiguranja podataka u prijenosu • Podaci moraju biti kriptološki osigurani i ovjereni uporabom elektroničkog potpisa koji primatelju omogućuje provjeru izvornosti primljenog izvatka 141

Provjera potpisa • Primatelji izvatka iz zbirki posebnih kategorija osobnih podataka dužni su prilikom primitka izvatka provjeriti izvornost uporabom javnog ključa pošiljatelja. • O primljenim izvacima bez potvrde izvornosti primatelj je dužan bez odgode obavijestiti voditelja zbirki osobnih podataka 142

Provjere • Voditelj zbirke osobnih podataka tjedno, mjesečno i godišnje provjerava rad svih dijelova sustava • Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava određuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka u skladu s međunarodnim preporukama (ISO 17799) 143

Održavanje • Računalnu, telekomunikacijsku i programsku opremu održava osoba određena ugovorom o nabavi opreme ili drugim odgovarajućim ugovorom ovlašteni stručnjak 144

Središnji registar • Aplikacija središnjeg registra evidencija zbirki osobnih podataka mjesto je na koje voditelji zbirki trebaju prijaviti svoje zbirke osobnih podataka i opisati ih prema zadanim pravilima • http: //registar. azop. hr/ 145

Opis zbirke • Parametri koji opisuju zbirku osobnih podataka: • Opći podaci o zbirci • Prava ispitanika • Podaci o svakom atributu 146

Opći podaci • naziv zbirke, status, način obrade, datum uspostave, voditelj, izvršitelji obrade, svrha obrade, čime je određena svrha obrade, pravni temelj uspostave zbirke, način dobivanja privole ispitanika, inozemni korisnici, mjere zaštite podataka 147

Prava ispitanika • kontakt osoba, u kojem obliku zahtjev mora biti predan, administrativni preduvjeti koji olakšavaju obradu zahtjeva, plaćanje naknade, zakon kojim je propisano plaćanje naknade 148

Koraci • Imenovanje osobe koja će upisivati i ažurirati podatke o zbirkama osobnih podataka u aplikaciji Središnjeg registra • Alias osobni-podaci@domena. hr (dekan, kadrovik, AZOP-admin…) 149

Dopune • Nisu obvezni u Središnji registar dostaviti evidencije koje vode na temelju propisa iz područja radnog prava – Voditelji zbirki OP koji zapošljavaju do 5 zaposlenika – Oni koji su imenovali službenika za zaštitu osobnih podataka i o tome izvijestili AZOP • Odvajanje upravljačke i nadzorne funkcije 150

Nadzor zaštite • Nadzor nad provedbom odredbi ove Uredbe obavlja Agencija za zaštitu osobnih podataka. • http: //www. azop. hr 151

Rokovi • Uredba stupila na snagu 8. 10. 2004. • Voditelji zbirki OP i izvršitelji obrade dužni su u roku od šest mjeseci od dana stupanja na snagu uskladiti mjere, sredstva i uvjete osiguranja, pohranjivanja i zaštite podataka s odredbama Uredbe • Rok je prošao 8. 4. 2005. 152

Za daljnje čitanje • Smjernice HNB za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika – ožujak 2006. • Odluka HNB o primjerenom upravljanju informacijskim sustavom – 17. 7. 2007 • ISO 27001, ISO 27002 (17799) 153