Zakonski i podzakonski propisi i
sigurnost informacijskih sustava
Biljana Cerin, CISA, CISM, CBCP, PMP
www.snt.hr
1 Biljana Cerin, CISA, CISM, CBCP, PMP
Kategorije zaštite podataka
• Zakon o tajnosti podataka • Zakon o zaštiti osobnih podataka osobnih podataka • Zakon o zaštiti tajnosti podatakaDržava: “Mi štitimo svoje podatke"
• Zakon o tajnosti podataka (NN 79/07)– Ovaj Zakon se primjenjuje na državna tijela, tijela jedinica lokalne i područne (regionalne)
samouprave, pravne osobe s javnim ovlastima te pravne i fizičke osobe koje, u skladu sa ovim
pravne i fizičke osobe koje, u skladu sa ovim
Zakonom, ostvare pristup ili postupaju s klasificiranim i neklasificiranim podacima.
Klasificirani i neklasificirani podaci
• klasificirani podatak je onaj koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je
utvrñen stupanj tajnosti, kao i podatak kojeg je
Republici Hrvatskoj tako označenog predala druga
država, meñunarodna organizacija ili institucija s
kojom Republika Hrvatska surañuje
• neklasificirani podatak je podatak bez utvrñenog
stupnja tajnosti, koji se koristi u službene svrhe, kao i podatak koji je Republici Hrvatskoj tako označenog
predala druga država, meñunarodna organizacija ili
Stupnjevanje klasificiranih podataka
• Stupnjevi tajnosti klasificiranih podataka su: - VRLO TAJNO - TAJNO - TAJNO - POVJERLJIVO - OGRANIČENOUredba o mjerama informacijske sigurnosti
• Za zaštitu neklasificiranih podataka, tijela i pravne osobe i primjenjuju odgovarajući skup mjera
informacijske sigurnosti, sukladno normama za
upravljanje informacijskom sigurnošću, HRN ISO/IEC
27001 i HRN ISO/IEC 17799.
• Za zaštitu klasificiranih podataka stupnja tajnosti
»Ograničeno«, primjenjuju se dodatno i druge mjere
propisane ovom Uredbom, drugim propisima ili meñunarodnim ugovorima.
Područja informacijske sigurnosti – prema Uredbi
• Područja informacijske sigurnosti za koja se propisuju
mjere i standardi informacijske sigurnosti su: 1. sigurnosna provjera,
2. fizička sigurnost,
3. sigurnost podatka, 3. sigurnost podatka,
4. sigurnost informacijskog sustava i 5. sigurnost poslovne suradnje.
Sigurnosna provjera
• Sigurnosna provjera je posao državnih tijela – no obveznici Uredbe vode odgovarajuće registre.
• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima »Vrlo tajno«, »Tajno« i »Povjerljivo«, dužna su voditi registar »Tajno« i »Povjerljivo«, dužna su voditi registar
zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima.
• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima stupnja tajnosti »Ograničeno«, dužna su voditi registar potpisanih
Fizička sigurnost
• Mjere informacijske sigurnosti za područje fizičke sigurnosti su:
višestruka zaštita; sigurnosne zone; administrativne zone; plan fizičke
sigurnosti; procjena učinkovitosti mjera fizičke sigurnosti; kontrola
osoba; pohrana klasificiranih i neklasificiranih podataka; tehnički
sigurni prostori; fizička sigurnost informacijskih sustava; oprema za
fizičku zaštitu klasificiranih podataka.
• Mjere fizičke sigurnosti odreñuju se tako da se uzima u obzir: stupanj
tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja
tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja
za pristup klasificiranim podacima, te sigurnosna prosudbu o mogućim ugrozama.
•• Ne postoje opNe postoje općća „generalna“ rješenja a „generalna“ rješenja –– ove mjere se prilagoove mjere se prilagoññavaju avaju
konkretnoj organizaciji! konkretnoj organizaciji!
Sigurnost podataka
• Mjere informacijske sigurnosti za područje sigurnosti
podataka su:
– klasificiranje i deklasificiranje podataka; – označavanje podataka;
– pristup podacima; – pristup podacima; – zaštita podataka; – sustav registara;
– evidencija korištenja klasificiranih podataka; – postupanje u izvanrednim situacijama;
– ustupanje klasificiranih podataka drugoj državi ili meñunarodnoj organizaciji.
Sigurnost informacijskog sustava
• Mjere informacijske sigurnosti za područje sigurnosti
informacijskog sustava su:
– mjere zaštite informacijskog sustava, – upravljanje sviješću o sigurnosti i
– planiranje djelovanja u izvanrednim okolnostima. – planiranje djelovanja u izvanrednim okolnostima.
Sigurnost poslovne suradnje
• Mjere informacijske sigurnosti za područje sigurnosti
poslovne suradnje su:
– sklapanje klasificiranih ugovora; – certifikat poslovne sigurnosti;
– sigurnosni uvjeti za sklapanje klasificiranih – sigurnosni uvjeti za sklapanje klasificiranih
ugovora;
– prijevoz klasificiranog materijala;
– pristup klasificiranim podacima prilikom meñunarodnih posjeta;
Osobni podaci – štite se u svakom
slučaju
• Zakon o zaštiti osobnih podataka, NN103/03, 118/06, 41/08 • Uredba o načinu OSOBNI PODACI • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) POSEBNE KATEGORIJE OSOBNIH PODATAKA PODACIOsobni podaci
• Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može
identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi
izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički,
psihološki, mentalni, gospodarski, kulturni ili socijalni psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
• Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim
sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena,
povlačenje, uvid, korištenje, otkrivanje putem prijenosa,
objavljivanje ili na drugi način učinjenih dostupnim,
svrstavanje ili kombiniranje, blokiranje, brisanje ili
uništavanje, te provedba logičkih, matematičkih i drugih
Posebne kategorije osobnih podataka
• Posebne kategorije osobnih podataka su podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta,
vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje
ili spolni život i osobni podaci o kaznenom i prekršajnom postupku.
• Prema Uredbi, Mjere, postupci i osobe ovlaštene za • Prema Uredbi, Mjere, postupci i osobe ovlaštene za
osiguranje, pohranjivanje i zaštitu sustava odreñuju se,
ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s
meñunarodnim preporukama za to područje (ISO
Poslovna tajna – vaša briga
• Zakon o tajnosti podataka nije regulirao područje
poslovne i profesionalne tajne, već je naveo da se za
navedene vrste tajni i dalje koristi već uvelike zastario
Zakon o zaštiti tajnosti podataka iz 1996. godine.
Takvo rješenje dovelo je do brojnih nejasnoća i loše
primjene u praksi.
• U zapadnim demokracijama tajnost podataka pravnih i fizičkih osoba izvan državnog sustava (privatni sektor)
regulira se internim pravilima, u skladu i oslanjajući se
pri tom na pravni sustav države (zaštita intelektualnog i industrijskog vlasništva, patenti i dr.).
O poslovnoj tajni
• Definicija: poslovnu tajnu predstavljaju podaci koji su
kao poslovna tajna odreñeni zakonom, drugim propisom
ili općim aktom trgovačkog društva, ustanove ili druge
pravne osobe, a koji predstavljaju proizvodnu tajnu,
rezultate istraživačkog ili konstrukcijskog rada te druge
podatke zbog čijeg bi priopćavanja neovlaštenoj osobi
podatke zbog čijeg bi priopćavanja neovlaštenoj osobi
mogle nastupiti štetne posljedice za njezine gospodarske interese.
•• Poslovna tajna mora biti regulirana internim aktom Poslovna tajna mora biti regulirana internim aktom organizacije
Zaštita poslovne tajne
• Ukoliko poslovna tajna nije na odgovaraju
ć
i na
č
in
regulirana – ne mogu se sankcionirati osobe koje
ju u
č
ine javno dostupnom ili otu
ñ
e.
• Regulacija se mora prilagoditi odredbama ve
ć
uvelike zastarjelog Zakona o zaštiti tajnosti
podataka.
podataka.
•• Tehni
Tehni
č
č
ki zaštititi
ki zaštititi podatke
podatke, a pravno ne regulirati
, a pravno ne regulirati
poslovnu tajnu
poslovnu tajnu –
– zna
zna
č
č
i ostaviti podatke otvorenima.
i ostaviti podatke otvorenima.
Pitanju zaštite poslovnih podataka organizacije se
Pitanju zaštite poslovnih podataka organizacije se
pristupa integralno.
Ali to nije sve!
• Hrvatska narodna banka • Hrvatska agencija za nadzor financijskih nadzor financijskih usluga • Temeljem javnihovlasti donose pravila koja dodatno
reguliraju materiju tajnosti podataka!
Ali, ni to nije sve!
• Pružatelji usluga iz područja
telekomunikacija, farmacije, zdravstva moraju ispuniti i dodatna pravila posebnih zakona i podzakonskih akata vezana uz tajnost podataka.
podataka.
• Gore navedeno se odnosi i na organizacije koje u svom radu koriste vlastite
komunikacijske sustave ili imaju zdravstvenu i sličnu
Skupljanje i analiza “logova” – zašto nam to treba?
Sigurnost radi Sukladnosti?
ili
Uredba o mjerama informacijske sigurnosti,
Članak 54.
• Kontrola uporabe informacijskih sustava
podrazumijeva evidentiranje aktivnosti korisnika informacijskog sustava.
• Pored aktivnosti iz stavka 1. ovog članka, primjenjuju
• Pored aktivnosti iz stavka 1. ovog članka, primjenjuju
se mjere za spriječavanje zlouporabe informacijskih
sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u mrežu, definiranje,
pregledavanje i analiziranje zapisnika rada sustava i provoñenje analiza ranjivosti informacijskog sustava.
HNB odluka o primjerenom upravjanju informacijskim
sustavom,
Članak 20.
• Banka je dužna uspostaviti sustav upravljanja
korisničkim pravima pristupa koji obuhvaća procese
evidentiranja, autorizacije, identifikacije i autentifikacije evidentiranja, autorizacije, identifikacije i autentifikacije te nadzora korisničkih prava pristupa.
Payment Card Industry Data Security Standard.
PCI DSS:
• Regularly Monitor and Test Networks
• Requirement 10: Track and monitor all access to network resources and cardholder data
Logging mechanisms and the ability to track user activities are critical. The presence of logs in all
environments allows thorough tracking and analysis when something goes wrong. Determining the cause of the compromise is very difficult without system
HANFA Pravilnik – revizorski pregled i izvješće,
Članak 15.
Izvješće o kvaliteti informatičkog sustava u društvu za osiguranje sadržava ocjenu i preporuke slijedećih područja:
1. usklañenost djelovanja informatičkog sustava s poslovnim ciljem,
2. učinkovitost djelovanja informatičkog sustava, 2. učinkovitost djelovanja informatičkog sustava,
3. politika i organizacija sigurnosti i zaštite informacijskog sustava i podataka,
4. primjerenost vanjskih, sistemskih i ostalih kontrola, 5. tehnološka opremljenost.
Zakon o elektroničkim komunikacijama,
Članak 109.
Operatori javnih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga
obvezni su zadržati podatke o elektroničkim
komunikacijama iz članka 110. ovoga Zakona u svrhu
komunikacijama iz članka 110. ovoga Zakona u svrhu
omogućivanja provedbe istrage, otkrivanja i kaznenog
progona kaznenih djela u skladu s posebnim zakonom iz područja kaznenog postupka te u svrhu zaštite
obrane i nacionalne sigurnosti u skladu s posebnim zakonima iz područja obrane i nacionalne sigurnosti.
Zakon o elektroničkim komunikacijama,
Članak 110.
Obveza zadržavanja podataka iz članka 109. ovoga Zakona obuhvaća sljedeće vrste podataka:
– podatke potrebne za praćenje i utvrñivanje izvora komunikacije,
– podatke potrebne za utvrñivanje odredišta komunikacije,
– podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije,
– podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije,
– podatke potrebne za utvrñivanje vrste komunikacije,
– podatke potrebne za utvrñivanje korisničke komunikacijske opreme ili opreme
koja se smatra korisničkom komunikacijskom opremom,
Sukladnost – Rizici – Upravljanje rizicima
Najbolje prakse – proceduralni, organizacijski i tehnički
sigurnosni mehanizmi - kontrole:
• Pomoć pri obavljanju poslovne aktivnosti • Jednostavnost uporabe
• Transparentnost prema korisniku • Relativna snaga rješenja
• Vrsta kontrole: – Prevencija – Upozorenje – Detekcija – Oporavak – Korekcija – Nadzor – Podizanje svijesti
Skupljanje logova = detekcija problema
Pametna analiza logova = prevencija problema
• ISO 27002:2007, 10.10. “Nadzor”:
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Potrebno je nadzirati sustave i voditi zapise o dogañajima informacijske
sigurnosti. Za prepoznavanje problema informacijskih sustava potrebno je koristiti zapise operatera i zapise o zastojima.
Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti nadzora i voñenja zapisa.
Nadzor sustava treba koristiti za provjeru učinkovitosti prihvaćenih kontrola i
ISO 27002, Kontrola 10.10.1.: Revizijski zapisi:
Potrebno je voditi i odreñeno dogovoreno vrijeme čuvati revizijske zapise korisničkih aktivnosti, izuzetaka i sigurnosnih dogañaja radi buduće istrage i nadzora kontrole pristupa.
ISO 27002, Kontrola 10.10.4.: Zapisi administratora i operatera:
Potrebno je voditi zapise aktivnosti administratora i operatera Potrebno je voditi zapise aktivnosti administratora i operatera
sustava.
ISO 27002, Kontrola 10.10.5.: Zapisi o zastojima:
Potrebno je bilježiti zastoje koje prijavljuju korisnici ili sistemski programi u vezi problema s obradom informacija ili
ISO 27002, 10.10.2: Nadzor uporabe sustava:
Pomoću procjene rizika potrebno je odrediti razinu potrebnog nadzora pojedine opreme. Neka od područja nadzora:
• identifikacija korisnika
• datoteke kojima su korisnici pristupali
• programi/uslužni programi koji su korisnici koristili • uporaba povlaštenih korisničkih računa
• uporaba povlaštenih korisničkih računa
• pokretanje i zaustavljanje sustava
• priključenje/odspajanje ulazno-izlaznih ureñaja
• neuspjele ili odbijene akcije korisnika • povrede politike pristupa
• upozorenja sustava za otkrivanje upada • upravljanje mrežom
• sustav za kontrolu pristupa
Kako postići učinkovito upravljanje
logovima?
• Pomoć pri obavljanju poslovne aktivnosti
• Jednostavnost uporabe
• Transparentnost prema korisniku • Transparentnost prema korisniku • Relativna snaga rješenja