Zakonski i podzakonski propisi i sigurnost informacijskih sustava

Zakonski i podzakonski propisi i

sigurnost informacijskih sustava

Biljana Cerin, CISA, CISM, CBCP, PMP

www.snt.hr

1 Biljana Cerin, CISA, CISM, CBCP, PMP

Kategorije zaštite podataka

• Zakon o tajnosti podataka • Zakon o zaštiti osobnih podataka osobnih podataka • Zakon o zaštiti tajnosti podataka

Država: “Mi štitimo svoje podatke"

• Zakon o tajnosti podataka (NN 79/07)

– Ovaj Zakon se primjenjuje na državna tijela, tijela jedinica lokalne i područ_{ne (regionalne)}

samouprave, pravne osobe s javnim ovlastima te pravne i fizič_{ke osobe koje, u skladu sa ovim}

pravne i fizič_{ke osobe koje, u skladu sa ovim}

Zakonom, ostvare pristup ili postupaju s klasificiranim i neklasificiranim podacima.

Klasificirani i neklasificirani podaci

• klasificirani podatak je onaj koji je nadležno tijelo, u propisanom postupku, takvim označ_{ilo i za koji je}

utvrñ_{en stupanj tajnosti, kao i podatak kojeg je}

Republici Hrvatskoj tako označ_{enog predala druga}

država, meñ_{unarodna organizacija ili institucija s}

kojom Republika Hrvatska surañ_uje

• neklasificirani podatak je podatak bez utvrñ_enog

stupnja tajnosti, koji se koristi u službene svrhe, kao i podatak koji je Republici Hrvatskoj tako označ_enog

predala druga država, meñ_{unarodna organizacija ili}

Stupnjevanje klasificiranih podataka

• Stupnjevi tajnosti klasificiranih podataka su: - VRLO TAJNO - TAJNO - TAJNO - POVJERLJIVO - OGRANIČ_ENO

Uredba o mjerama informacijske sigurnosti

• Za zaštitu neklasificiranih podataka, tijela i pravne osobe i primjenjuju odgovarajuć_{i skup mjera}

informacijske sigurnosti, sukladno normama za

upravljanje informacijskom sigurnošć_{u, HRN ISO/IEC}

27001 i HRN ISO/IEC 17799.

• Za zaštitu klasificiranih podataka stupnja tajnosti

»Ogranič_{eno«, primjenjuju se dodatno i druge mjere}

propisane ovom Uredbom, drugim propisima ili meñ_{unarodnim ugovorima.}

Područja informacijske sigurnosti – prema Uredbi

• Područ_{ja informacijske sigurnosti za koja se propisuju}

mjere i standardi informacijske sigurnosti su: 1. sigurnosna provjera,

2. fizič_{ka sigurnost,}

3. sigurnost podatka, 3. sigurnost podatka,

4. sigurnost informacijskog sustava i 5. sigurnost poslovne suradnje.

Sigurnosna provjera

• Sigurnosna provjera je posao državnih tijela – no obveznici Uredbe vode odgovarajuć_{e registre.}

• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima »Vrlo tajno«, »Tajno« i »Povjerljivo«, dužna su voditi registar »Tajno« i »Povjerljivo«, dužna su voditi registar

zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima.

• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima stupnja tajnosti »Ogranič_{eno«, dužna su voditi registar potpisanih}

Fizička sigurnost

• Mjere informacijske sigurnosti za područ_{je fizi}č_{ke sigurnosti su:}

višestruka zaštita; sigurnosne zone; administrativne zone; plan fizič_ke

sigurnosti; procjena uč_{inkovitosti mjera fizi}č_{ke sigurnosti; kontrola}

osoba; pohrana klasificiranih i neklasificiranih podataka; tehnič_ki

sigurni prostori; fizič_{ka sigurnost informacijskih sustava; oprema za}

fizič_{ku zaštitu klasificiranih podataka.}

• Mjere fizič_{ke sigurnosti odre}ñ_{uju se tako da se uzima u obzir: stupanj}

tajnosti, broj, oblik i nač_{in pohrane klasificiranih podataka, ovlaštenja}

tajnosti, broj, oblik i nač_{in pohrane klasificiranih podataka, ovlaštenja}

za pristup klasificiranim podacima, te sigurnosna prosudbu o moguć_{im ugrozama.}

•• Ne postoje op_{Ne postoje op}ćć_{a „generalna“ rješenja a „generalna“ rješenja –– ove mjere se prilagoove mjere se prilago}ññ_{avaju avaju}

konkretnoj organizaciji! konkretnoj organizaciji!

Sigurnost podataka

• Mjere informacijske sigurnosti za područ_{je sigurnosti}

podataka su:

– klasificiranje i deklasificiranje podataka; – označ_{avanje podataka;}

– pristup podacima; – pristup podacima; – zaštita podataka; – sustav registara;

– evidencija korištenja klasificiranih podataka; – postupanje u izvanrednim situacijama;

– ustupanje klasificiranih podataka drugoj državi ili meñ_{unarodnoj organizaciji.}

Sigurnost informacijskog sustava

• Mjere informacijske sigurnosti za područ_{je sigurnosti}

informacijskog sustava su:

– mjere zaštite informacijskog sustava, – upravljanje sviješć_{u o sigurnosti i}

– planiranje djelovanja u izvanrednim okolnostima. – planiranje djelovanja u izvanrednim okolnostima.

Sigurnost poslovne suradnje

• Mjere informacijske sigurnosti za područ_{je sigurnosti}

poslovne suradnje su:

– sklapanje klasificiranih ugovora; – certifikat poslovne sigurnosti;

– sigurnosni uvjeti za sklapanje klasificiranih – sigurnosni uvjeti za sklapanje klasificiranih

ugovora;

– prijevoz klasificiranog materijala;

– pristup klasificiranim podacima prilikom meñ_{unarodnih posjeta;}

Osobni podaci – štite se u svakom

slučaju

• Zakon o zaštiti osobnih podataka, NN103/03, 118/06, 41/08 • Uredba o nač_inu OSOBNI PODACI • Uredba o nač_inu pohranjivanja i posebnim mjerama tehnič_{ke zaštite} posebnih kategorija osobnih podataka (NN 139/04) POSEBNE KATEGORIJE OSOBNIH PODATAKA PODACI

Osobni podaci

• Osobni podatak je svaka informacija koja se odnosi na identificiranu fizič_{ku osobu ili fizi}č_{ku osobu koja se može}

identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba č_{iji se identitet može utvrditi}

izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifič_{nih za njezin fizi}č_ki,

psihološki, mentalni, gospodarski, kulturni ili socijalni psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

• Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim

sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena,

povlač_{enje, uvid, korištenje, otkrivanje putem prijenosa,}

objavljivanje ili na drugi nač_{in u}č_{injenih dostupnim,}

svrstavanje ili kombiniranje, blokiranje, brisanje ili

uništavanje, te provedba logič_{kih, matemati}č_{kih i drugih}

Posebne kategorije osobnih podataka

• Posebne kategorije osobnih podataka su podaci koji se odnose na rasno ili etnič_{ko podrijetlo, politi}č_{ka stajališta,}

vjerska ili druga uvjerenja, sindikalno č_{lanstvo, zdravlje}

ili spolni život i osobni podaci o kaznenom i prekršajnom postupku.

• Prema Uredbi, Mjere, postupci i osobe ovlaštene za • Prema Uredbi, Mjere, postupci i osobe ovlaštene za

osiguranje, pohranjivanje i zaštitu sustava odreñ_{uju se,}

ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s

meñ_{unarodnim preporukama za to podru}č_{je (ISO}

Poslovna tajna – vaša briga

• Zakon o tajnosti podataka nije regulirao područ_je

poslovne i profesionalne tajne, već _{je naveo da se za}

navedene vrste tajni i dalje koristi već _{uvelike zastario}

Zakon o zaštiti tajnosti podataka iz 1996. godine.

Takvo rješenje dovelo je do brojnih nejasnoć_{a i loše}

primjene u praksi.

• U zapadnim demokracijama tajnost podataka pravnih i fizič_{kih osoba izvan državnog sustava (privatni sektor)}

regulira se internim pravilima, u skladu i oslanjajuć_{i se}

pri tom na pravni sustav države (zaštita intelektualnog i industrijskog vlasništva, patenti i dr.).

O poslovnoj tajni

• Definicija: poslovnu tajnu predstavljaju podaci koji su

kao poslovna tajna odreñ_{eni zakonom, drugim propisom}

ili opć_{im aktom trgova}č_{kog društva, ustanove ili druge}

pravne osobe, a koji predstavljaju proizvodnu tajnu,

rezultate istraživač_{kog ili konstrukcijskog rada te druge}

podatke zbog č_{ijeg bi priop}ć_{avanja neovlaštenoj osobi}

podatke zbog č_{ijeg bi priop}ć_{avanja neovlaštenoj osobi}

mogle nastupiti štetne posljedice za njezine gospodarske interese.

•• Poslovna tajna mora biti regulirana internim aktom Poslovna tajna mora biti regulirana internim aktom organizacije

Zaštita poslovne tajne

• Ukoliko poslovna tajna nije na odgovaraju

ć

_{i na}

č

_in

regulirana – ne mogu se sankcionirati osobe koje

ju u

č

_{ine javno dostupnom ili otu}

ñ

_e.

• Regulacija se mora prilagoditi odredbama ve

ć

uvelike zastarjelog Zakona o zaštiti tajnosti

podataka.

podataka.

•• Tehni

_Tehni

č

č

_{ki zaštititi}

_{ki zaštititi podatke}

_{podatke, a pravno ne regulirati}

_{, a pravno ne regulirati}

poslovnu tajnu

poslovnu tajnu –

– zna

_zna

č

č

_{i ostaviti podatke otvorenima.}

_{i ostaviti podatke otvorenima.}

Pitanju zaštite poslovnih podataka organizacije se

Pitanju zaštite poslovnih podataka organizacije se

pristupa integralno.

Ali to nije sve!

• Hrvatska narodna banka • Hrvatska agencija za nadzor financijskih nadzor financijskih usluga • Temeljem javnih

ovlasti donose pravila koja dodatno

reguliraju materiju tajnosti podataka!

Ali, ni to nije sve!

• Pružatelji usluga iz područ_ja

telekomunikacija, farmacije, zdravstva moraju ispuniti i dodatna pravila posebnih zakona i podzakonskih akata vezana uz tajnost podataka.

podataka.

• Gore navedeno se odnosi i na organizacije koje u svom radu koriste vlastite

komunikacijske sustave ili imaju zdravstvenu i slič_nu

Skupljanje i analiza “logova” – zašto nam to treba?

Sigurnost radi Sukladnosti?

ili

Uredba o mjerama informacijske sigurnosti,

Članak 54.

• Kontrola uporabe informacijskih sustava

podrazumijeva evidentiranje aktivnosti korisnika informacijskog sustava.

• Pored aktivnosti iz stavka 1. ovog č_{lanka, primjenjuju}

• Pored aktivnosti iz stavka 1. ovog č_{lanka, primjenjuju}

se mjere za spriječ_{avanje zlouporabe informacijskih}

sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u mrežu, definiranje,

pregledavanje i analiziranje zapisnika rada sustava i provoñ_{enje analiza ranjivosti informacijskog sustava.}

HNB odluka o primjerenom upravjanju informacijskim

sustavom,

Članak 20.

• Banka je dužna uspostaviti sustav upravljanja

korisnič_{kim pravima pristupa koji obuhva}ć_{a procese}

evidentiranja, autorizacije, identifikacije i autentifikacije evidentiranja, autorizacije, identifikacije i autentifikacije te nadzora korisnič_{kih prava pristupa.}

Payment Card Industry Data Security Standard.

PCI DSS:

• Regularly Monitor and Test Networks

• Requirement 10: Track and monitor all access to network resources and cardholder data

Logging mechanisms and the ability to track user activities are critical. The presence of logs in all

environments allows thorough tracking and analysis when something goes wrong. Determining the cause of the compromise is very difficult without system

HANFA Pravilnik – revizorski pregled i izvješće,

Članak 15.

Izvješć_{e o kvaliteti informati}č_{kog sustava u društvu za osiguranje} sadržava ocjenu i preporuke slijedeć_{ih podru}č_ja:

1. usklañ_{enost djelovanja informati}č_{kog sustava s poslovnim} ciljem,

2. uč_{inkovitost djelovanja informati}č_{kog sustava,} 2. uč_{inkovitost djelovanja informati}č_{kog sustava,}

3. politika i organizacija sigurnosti i zaštite informacijskog sustava i podataka,

4. primjerenost vanjskih, sistemskih i ostalih kontrola, 5. tehnološka opremljenost.

Zakon o elektroničkim komunikacijama,

Članak 109.

Operatori javnih komunikacijskih mreža i javno dostupnih elektronič_{kih komunikacijskih usluga}

obvezni su zadržati podatke o elektronič_kim

komunikacijama iz č_{lanka 110. ovoga Zakona u svrhu}

komunikacijama iz č_{lanka 110. ovoga Zakona u svrhu}

omoguć_{ivanja provedbe istrage, otkrivanja i kaznenog}

progona kaznenih djela u skladu s posebnim zakonom iz područ_{ja kaznenog postupka te u svrhu zaštite}

obrane i nacionalne sigurnosti u skladu s posebnim zakonima iz područ_{ja obrane i nacionalne sigurnosti.}

Zakon o elektroničkim komunikacijama,

Članak 110.

Obveza zadržavanja podataka iz č_{lanka 109. ovoga Zakona} obuhvać_{a sljede}ć_{e vrste podataka:}

– podatke potrebne za prać_{enje i utvr}ñ_{ivanje izvora komunikacije,}

– podatke potrebne za utvrñ_{ivanje odredišta komunikacije,}

– podatke potrebne za utvrñ_{ivanje nadnevka, vremena i trajanja komunikacije,}

– podatke potrebne za utvrñ_{ivanje nadnevka, vremena i trajanja komunikacije,}

– podatke potrebne za utvrñ_{ivanje vrste komunikacije,}

– podatke potrebne za utvrñ_{ivanje korisni}č_{ke komunikacijske opreme ili opreme}

koja se smatra korisnič_{kom komunikacijskom opremom,}

Sukladnost – Rizici – Upravljanje rizicima

Najbolje prakse – proceduralni, organizacijski i tehnički

sigurnosni mehanizmi - kontrole:

• Pomoć _{pri obavljanju poslovne aktivnosti} • Jednostavnost uporabe

• Transparentnost prema korisniku • Relativna snaga rješenja

• Vrsta kontrole: – Prevencija – Upozorenje – Detekcija – Oporavak – Korekcija – Nadzor – Podizanje svijesti

Skupljanje logova = detekcija problema

Pametna analiza logova = prevencija problema

• ISO 27002:2007, 10.10. “Nadzor”:

Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.

Potrebno je nadzirati sustave i voditi zapise o dogañ_{ajima informacijske}

sigurnosti. Za prepoznavanje problema informacijskih sustava potrebno je koristiti zapise operatera i zapise o zastojima.

Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti nadzora i voñ_{enja zapisa.}

Nadzor sustava treba koristiti za provjeru uč_{inkovitosti prihva}ć_{enih kontrola i}

ISO 27002, Kontrola 10.10.1.: Revizijski zapisi:

Potrebno je voditi i odreñ_{eno dogovoreno vrijeme} č_{uvati revizijske} zapise korisnič_{kih aktivnosti, izuzetaka i sigurnosnih doga}ñ_aja radi buduć_{e istrage i nadzora kontrole pristupa.}

ISO 27002, Kontrola 10.10.4.: Zapisi administratora i operatera:

Potrebno je voditi zapise aktivnosti administratora i operatera Potrebno je voditi zapise aktivnosti administratora i operatera

sustava.

ISO 27002, Kontrola 10.10.5.: Zapisi o zastojima:

Potrebno je bilježiti zastoje koje prijavljuju korisnici ili sistemski programi u vezi problema s obradom informacija ili

ISO 27002, 10.10.2: Nadzor uporabe sustava:

Pomoć_{u procjene rizika potrebno je odrediti razinu potrebnog} nadzora pojedine opreme. Neka od područ_{ja nadzora:}

• identifikacija korisnika

• datoteke kojima su korisnici pristupali

• programi/uslužni programi koji su korisnici koristili • uporaba povlaštenih korisnič_{kih ra}č_una

• uporaba povlaštenih korisnič_{kih ra}č_una

• pokretanje i zaustavljanje sustava

• priključ_{enje/odspajanje ulazno-izlaznih ure}ñ_aja

• neuspjele ili odbijene akcije korisnika • povrede politike pristupa

• upozorenja sustava za otkrivanje upada • upravljanje mrežom

• sustav za kontrolu pristupa

Kako postići učinkovito upravljanje

logovima?

• Pomoć _{pri obavljanju poslovne aktivnosti}

• Jednostavnost uporabe

• Transparentnost prema korisniku • Transparentnost prema korisniku • Relativna snaga rješenja

Hvala na pažnji!

biljana.cerin@snt.hr

www.snt.hr 33

biljana.cerin@snt.hr

vojkovic@vip.hr