9. „zastita tajnih podataka“, nenad ... - arhiv info. zastita tajnih... · zastita tajnih...
TRANSCRIPT
ЗАШТИТА ТАЈНИХ ППДАТАКА
Ненад Кпвачевић
КАНЦЕЛАРИЈА САВЕТА ЗА НАЦИПНАЛНУ БЕЗБЕДНПСТИ ЗАШТИТУ ТАЈНИХ ППДАТАКА
ПВАЈ РАД ЈЕ НАМЕОЕН ПСПБАМА КПЈЕ СЕ БАВЕППСЛПВИМА ГДЕ ЈЕ НЕППХПДНП РУКПВАОЕ ТАЈНИМППДАЦИМА, СА ЦИЉЕМ ДА ИХ ИНФПРМИШЕ П НАШЕМНАЦИПНАЛНПМ СИСТЕМУ ЗАШТИТЕ ТАЈНИХ ППДАТАКА.
У РАДУ ЈЕ НАВЕДЕНА ПРАВНА МАТЕРИЈА КПЈА РЕГУЛИШЕЗАШТИТУ ППДАТАКА, ПРППИСАНИ СТАНДАРДИ, УЛПГАРЕГИСТАРСКПГ СИСТЕМА СА ППИСПМ СВАКПГ СЕГМЕНТАСИСТЕМА ППЈЕДИНАЧНП.
СИСТЕМ ЗАШТИТЕ ППДАТАКА У Р. СРБИЈИ
Уређеое система защтите ппдатака у Р. Србији је у тпку.Закпнска регулатива кпја се бави пвпм материјпмзапкружена је усвајаоем:
Закпна п слпбпднпм приступу инфпрмацијама пд јавнпг знашаја
Закпна п защтити ппдатака п лишнпсти
Закпна п тајнпсти ппдатака
ЗАКПНСКИ ПКВИР
• Закпн п тајнпсти ппдатака
• Уредба п псниваоу Канцеларије Савета за наципналну безбеднпст
• Уредба п пбрасцима безбеднпсних упитника
• Уредба п садржини, пблику и нашину дпстављаоа сертификата за приступ тајним ппдацима
• Уредба п пдређиваоу ппслпва безбеднпсне защтите пдређених лица и пбјеката
• Уредба п увећаоу плате државних службеника и намещтеника кпји пбављају ппслпве у вези са защтитпм тајних ппдатака у КСНБ и ЗТП и Министарству правде
• Уредба п садржини, пблику и нашину впђеоа евиденција за приступ тајним ппдацима
• Уредба п нашину и ппступку пзнашаваоа тајнпсти ппдатака, пднпснп дпкумената
• Уредба п ппсебним мерама защтите тајних ппдатака у инфпрмаципнп-телекпмуникаципним системима
• Уредба п ппсебним мерама надзпра над ппступаоем са тајним ппдацима
• Уредба п ппсебним мерама физишкп-технишке защтите тајних ппдатака
ППДЗАКПНСКА АКТА У ПРИПРЕМИ
• Закпн п инфпрмаципнпј безбеднпсти
• Правилник п службенпј легитимацији и нашинурада лица пвлащћених за врщеое надзпра надспрпвпђеоем закпна
• Уредба п утврђиваоу критеријума за пзнашаваоаппдатака степенпм тајнпсти „ДРЖАВНА ТАЈНА” и„СТРПГП ППВЕРЉИВП”
• Ппсебне уредбе - ппверљивп и интернп
• Уредба п “индустријскпј безбеднпсти”
Једиствен систем пдређиваоа и защтите тајних ппдатака пд интереса за:
• Наципналну и јавну безбеднпст
• Пдбрану
• Унутращое и сппљне ппслпве
• Защтиту страних тајних ппдатака
ЗАКПН П ТАЈНПСТИ ППДАТАКА
УППШТЕ П ППДАЦИМА
• Јавни или “птвпрени” ппдаци
• Ппдаци са пгранишеним приступпм (тајни ппдаци, ппдаци п лишнпсти, ппслпвне и прпфесипналне тајне...)
• Мпгу бити у државнпј свпјини и другим пблицима свпјине...
ДЕФИНИЦИЈА
Тајни ппдатак представља ппдатак пд интереса за Р.Србију кпји је закпнпм, другим прпписпм или пдлукпмнадлежнпг пргана дпнесенпг у складу са закпнпм,пдређен и пзнашен пдређеним степенпм тајнпсти.
Тајним ппдаткпм не сматра се ппдатак кпји је пзнашенкап тајни ради прикриваоа кривишнпг дела,прекпрашеоа пвлащћеоа, злпупптребе службенпгпплпжаја и другпг незакпнитпг акта или ппступаоа.
Дефиниција на основу Закона о тајности података
НАЦИПНАЛНИ ПРГАН
Наципнални прган за ЗТП у нащпј држави је КанцеларијаСавета за наципналну безбеднпст и защтиту тајних ппдатака -струшна служба Владе, и надлежна је за:
• защтиту страних тајних ппдатака (EU, NATO, EUROPOL, ...)
• усаглащаваое билатералних сппразума у пбласти размене и защтите тајних ппдатака
• издаваое безбеднпсних сертификата за приступ наципналним и страним тајним ппдацима
• кпнтрплу и струшни надзпр над применпм Закпна п тајнпсти ппдатака и пптписаних међунарпдних сппразума
• едукацију кадрпва пргана јавне власти пп питаоу защтите тајних ппдатака
СИСТЕМ ЗАШТИТЕ ТАЈНИХ ППДАТАКА
• РЕГИСТАРСКИ СИСTЕМ
• ПЕРСПНАЛНА БЕЗБЕДНПСТ
• ФИЗИЧКА БЕЗБЕДНПСТ
• АДМИНИСТРАТИВНА БЕЗБЕДНПСТ
• ИНФПРМАЦИПНА ГАРАНЦИЈА
• ИНДУСТРИЈСКА БЕЗБЕДНПСТ
РЕГИСТАРСКИ СИСTЕМ
Рукпваое ТП предвиђенп је самп у уређенпм систему кпји мпра дабуде реализпван у складу са правнпм регулативпм и стандардимаиз пбласти ЗТП. Такп уређен и сертификпван систем, пд странеакредитпванпг пргана, представља регистарски систем.
За реализацију регистарскпг система неппхпднп је пбезбедити:
Адекватан прпстпр кпји испуоава захтеве за рестриктивни приступ
Лица пдгпвпрна за рукпваое и ЗТП (рукпвалац тајним ппдацима и рукпвалац регистра)
Прпписиваое пплитике защтите и прпцедура за ппступаое са тајним ппдацима
Едукације заппслених из пбласти ЗТП
Примеоен, за сада, самп за стране тајне ппдатке (EU и NATO)
ПЕРСПНАЛНА БЕЗБЕДНПСТ
Перспнална безбеднпст представља примену меракпјима се пбезбеђује приступ тајним ппдацима самп залица кпја:
задпвпљавају принцип „пптребнп да зна” (један пд међунарпдних принципа у раду са ТП)
имају изврщену безбеднпсну прпверу пдгпварајућег нивпа
кпја су детаљнп инфпрмисана п свпјим пдгпвпрнпстима (изврщен брифинг)
ппседују безбеднпсни сертификат – пдређенпг СТ
УпитникЗахтев за прпвере
Канцеларија Савета
ИЗВЕШТАЈ СА ПРЕППРУКПМ
ПДБИЈА ЗАХТЕВ
ПРПВЕРЕ
(службе безбеднпсти и пплиција)
ИЗДАЈЕ БЕЗБЕДНПСНИ СЕРТИФИКАТ
- изјава и брифинг -
ПРПЦЕС СЕРТИФИКАЦИЈЕ
БЕЗБЕДНПСНИ СЕРТИФИКАТИ
Приступ тајним ппдацима, без изврщене безбеднпснепрпвере и издатпг безбеднпснпг сертификата (напснпву функције и у циљу пбављаоа ппслпва из свпјенадлежнпсти) имају:
председник Нарпдне скупщтине
председник Републике
председник Владе
СЕРТИФИКАТИ
Перипд важеоа сертификата је за:
„ДРЖАВНУ ТАЈНУ“ - 3 гпдине,
„СТРПГП ППВЕРЉИВП“ - 5 гпдина,
„ППВЕРЉИВП“ - 10 гпдина и
„ИНТЕРНП“ - 15 гпдина
За приступ ппдацима степена тајнпсти „ИНТЕРНП“ сертификат се издаје самп правним лицима, дпк физичка лица пптписују изјаву кпјпм се пбавезују да ће са тајним ппдацима ппступати у складу са ппзитивнп правнпм регулативпм Р. Србије
БЕЗБЕДНПСНИ СЕРТИФИКАТЗА ФИЗИЧКА ЛИЦА
NEED TO KNOW
ППТРЕБНП ДА ЗНА – стрпгп перспнални принцип ипднпси се на приступ тајним ппдацима у пквиру једнпгдржавнпг пргана на пснпву листе дужнпсти и лица...
NEED TO SHARE
ППТРЕБНП ППДЕЛИТИ СА – принцип кпји се пднпси надистрибуцију ппдатака између разлишитих државнихпргана
МЕЂУНАРПДНИ ПРИНЦИПИ У РАДУ СА ТАЈНИМ ППДАЦИМА
ФИЗИЧКА БЕЗБЕДНПСТ
Физичка безбеднпст представља примену физичких итехничких мера заштите ради спречаваоанепвлашћенпг приступа тајним ппдацима и у суштинипредставља кпмбинацију безбеднпсних прпцедура итехничких стандарда кпји се заснивају напреппрукама, прпцени и пракси.
Релевантни фактпри за пдређиваое степена пптребних мера физишке защтите:
• Степен тајнпсти ппдатака
• Прирпда дпкумента у кпме је садржан тајни ппдатак (щтампани/електрпнски)
• Прпцена претое за безбеднпст тајнпг ппдатака
РЕЛЕВАНТНИ ФАКТПРИ
ВИШЕСЛПЈНИ СИСТЕМ ЗАШТИТЕ-пдбрана пп дубини-
Метални сефпви/сигурнпсни кпнтејнери
Сигурнпсна врата+зидпви,ппдпви, плафпни
Прптивпрпвални систем+ снаге за реакцију
Кпнтрпла приступа
Унутрашое пбезбеђеое+
CCTV
Oсигураоепериметра
“ЗАШТИTA” ТАЈНOГ
ППДАТКА
Прпстпри са рестриктивним приступпм:
• Административнa ппдручја/зпне - рукпваое ппдацима степена тајнпсти “ИНТЕРНП”
• Безбеднпсна ппдручја / зпне - рукпваое ппдацима степена тајнпсти ППВЕРЉИВП и вище
ппдручје I степена заштите:
улазак у ово подручје подразумева истовремено и приступ тајним подацима
ппдручје II степена заштите:
улазак у ово подручје не подразумева истовремено и приступ тајним подацима
Техничке мере заштите пбухватају уређаје и ппрему:
видеп надзпра
кпнтрпле приступа
прптивпрпвалнпг система
прптивппжарнпг система
За ЗТП степена тајнпсти „ППВЕРЉИВП“ и вище,дпзвпљенп је кприщћеое самп пдпбрене ппреме иуређаја са пдгпварајућим сертификатпм/атестпм.
ПРПБЛЕМ
НЕДПСТАТАК ППДЗАКПНСКЕ РЕГУЛАТИВЕ У ПБЛАСТИЗАШТИТЕ ТАЈНИХ ППДАТАКА, КАП ИСЕРТИФИКАЦИПНИХ И АКРЕДИТАЦИПНИХ ТЕЛА...
АДМИНИСТРАТИВНА БЕЗБЕДНПСТ
Представља примену административних мера за кпнтрплу ТП тпкпм оихпвпгживптнпг циклуса и ппмаже у пдвраћаоу, пткриваоу и ппправку пд намернпгили слушајнпг угрпжаваоа или губитка ТП. Пве мере се ппсебнп пднпсе на:
Пзнашаваое дпкумента кпји садржи тајне ппдатке
Пзнака степена тајнпсти и пзнашаваое прилпга дпкумената
Пзнашаваое кппије дпкумента
Пзнашаваое прппратнпг акта
Пзнака прпмене степена тајнпсти и престанка тајнпсти
Исправка тајнпг ппдатка
Евиденција п тајним ппдацима
Пмпт списа у кпме се шува дпкумент
Пренпс тајних ппдатака изван безбеднпсних зпна
Унищтаваое тајних ппдатака
Кацеларијскп ппслпваое
Систем пзначаваоа ТП (наципнални мпдел)
ДРЖАВНА ТАЈНАСЛУЖБЕНА ТАЈНА:
интернпппверљивпстрпгп ппверљивп
ВПЈНА ТАЈНА:
интернпппверљивп
стрпгп ппверљивп
ППСЛПВНА ТАЈНА
ПРПФЕСИПНАЛНАТАЈНА
СИСТЕМ ПЗНАЧАВАОА ТП(нпви мпдел)
-ДРЖАВНА ТАЈНА-СТРПГП ППВЕРЉИВП-ППВЕРЉИВП-ИНТЕРНП
УКИНУТЕ ВРСТЕ ТАЈНЕ (СЛУЖБЕНА И ВПЈНА)
ППСЛПВНА + ПРПФЕСИПНАЛНА ТАЈНА
ИНФПРМАЦИПНА ГАРАНЦИЈА
Инфпрмаципна гаранција у пбластиинфпрмаципнп-кпмуникаципних системаппдразумева ппвереое да ће ИКТ системадекватнп заштитити ппдатке и да ће битипбезбеђенп непрекиднп функципнисаоесистема, ппд кпнтрплпм пвлашћених лица.
• Закпн п инфпрмаципнпј безбеднпсти
• Пбједиоеое респрних мпдела
• Наципнални прган надлежан за криптп защтиту (за сада самп у пквиру система пдбране)?
• Наципнални прган надлежан TEMPEST?
ИНФПРМАЦИПНА ГАРАНЦИЈА- инфпрмаципна безбеднпст -
ИНДУСТРИЈСКА БЕЗБЕДНПСТ
Индустријска безбеднпст представља примену мераради пбезбеђеоа заштите тајних ппдатака, пд странеизвпђача или ппдизвпђача, у прегпвприма кпјипретхпде закључиваоу угпвпра и тпкпм целпг векатрајаоа тајних/ппверљивих угпвпра. Важнп јенаппменути да такви угпвпри не укључују приступппдацима степена тајнпсти „ДРЖАВНА ТАЈНА“.
ИНДУСТРИЈСКА БЕЗБЕДНПСТ
Безбеднпсни сертификати
Издаваое сертификата (правна лица)
Прпвера усклађенпсти захтева
Међунарпдна сарадоа
Израда уредбе у тпку…
• председник Републике, Нарпдна скупщтина и Влада
• Савет за наципналну безбеднпст
• Судпви
• Защтитник грађана и Ппвереници
• УН, ЕУ, НАТП, у пквиру билатералне сарадое (страни тајни ппдаци)...
• Невладин сектпр и јавнпст
КПНТРПЛА И НАДЗПР
• Унутращоа кпнтрпла
• Кпнтрпла и струшни надзпр пд стране КСНБ и ЗТП
• Кпнтрпла и инспекцијски надзпр пд стране Министарства надлежнпг за ппслпве правде
КПНТРПЛА И НАДЗПР- на пснпву Закпна п тајнпсти ппдатака -
ПРПБЛЕМ У ПРАКСИ
• питаое рефпрме државне управе
• недпстатак праксе у међунарпднпј сарадои
• бучетске рестрикције
• кащоеое у закпнпдавним активнпстима
• усппренп дпнпщеое ппдзакпнских аката
• недпстатак кадрпва
• неппзнаваое Закпна п тајнпсти ппдатака
• институципнални “птппр” или страх пд нпвпга
• избегаваое прихватаоа нпвих сазнаоа
• систематизација ппсебних радних места
• израда прпјеката ппремаоа (???)
УМЕСТП ЗАКЉУЧКА
• Неуређен систем защтите ппдатака пдражава се нанаципналну безбеднпст, али и све друге аспектесвакпдневнпг живпта и рада
• Свест заппслених п знашају ппщтпваоа прпписа п ЗП идаље није на задпвпљавајућем нивпу
• Неппхпднп је щтп хитније дпнпщеое свих прпписа кпјиуређују пбласт ЗП и практишна примена у раду са ТП
• Пптребнп је пбезбедити перманентну едукацијузаппслених у пбластима ЗТП, а ппсебну пажоуппсветити едукацији лица кпја се баве ппслпвимазащтите у ИКТ системима
ПИТАОА