Zakonski i podzakonski propisi isigurnost informacijskih sustava

Biljana Cerin, CISA, CISM, CBCP, PMP

www.snt.hr1

Biljana Cerin, CISA, CISM, CBCP, PMPDr. sc. Goran Vojković, dipl.iur.

Kategorije zaštite podataka

• Zakon o tajnosti podataka

• Zakon o zaštiti osobnih podatakaosobnih podataka

• Zakon o zaštiti tajnosti podataka

Država: “Mi štitimo svoje podatke"

• Zakon o tajnosti podataka (NN 79/07)– Ovaj Zakon se primjenjuje na državna tijela, tijela

jedinica lokalne i područne (regionalne) samouprave, pravne osobe s javnim ovlastima te pravne i fizičke osobe koje, u skladu sa ovim pravne i fizičke osobe koje, u skladu sa ovim Zakonom, ostvare pristup ili postupaju s klasificiranim i neklasificiranim podacima.

Klasificirani i neklasificirani podaci

• klasificirani podatak je onaj koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrñen stupanj tajnosti, kao i podatak kojeg je Republici Hrvatskoj tako označenog predala druga država, meñunarodna organizacija ili institucija s kojom Republika Hrvatska surañuje

• neklasificirani podatak je podatak bez utvrñenog stupnja tajnosti, koji se koristi u službene svrhe, kao i podatak koji je Republici Hrvatskoj tako označenog predala druga država, meñunarodna organizacija ili institucija s kojom Republika Hrvatska surañuje

Stupnjevanje klasificiranih podataka

• Stupnjevi tajnosti klasificiranih podataka su:- VRLO TAJNO- TAJNO- TAJNO- POVJERLJIVO- OGRANIČENO

Sukladno NATO klasifikaciji!

Uredba o mjerama informacijske sigurnosti

• Za zaštitu neklasificiranih podataka, tijela i pravne osobe i primjenjuju odgovarajući skup mjera informacijske sigurnosti, sukladno normama za upravljanje informacijskom sigurnošću, HRN ISO/IEC 27001 i HRN ISO/IEC 17799.

• Za zaštitu klasificiranih podataka stupnja tajnosti »Ograničeno«, primjenjuju se dodatno i druge mjere propisane ovom Uredbom, drugim propisima ili meñunarodnim ugovorima.

Područja informacijske sigurnosti – prema Uredbi

• Područja informacijske sigurnosti za koja se propisuju mjere i standardi informacijske sigurnosti su:1. sigurnosna provjera,2. fizička sigurnost, 3. sigurnost podatka, 3. sigurnost podatka, 4. sigurnost informacijskog sustava i5. sigurnost poslovne suradnje.

Sigurnosna provjera

• Sigurnosna provjera je posao državnih tijela – no obveznici Uredbe vode odgovarajuće registre.

• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima »Vrlo tajno«, »Tajno« i »Povjerljivo«, dužna su voditi registar »Tajno« i »Povjerljivo«, dužna su voditi registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima.

• Tijela i pravne osobe obveznici ove Uredbe, koja postupaju s klasificiranim podacima stupnja tajnosti »Ograničeno«, dužna su voditi registar potpisanih izjava o postupanju s klasificiranim podacima.

Fizička sigurnost

• Mjere informacijske sigurnosti za područje fizičke sigurnosti su: višestruka zaštita; sigurnosne zone; administrativne zone; plan fizičke sigurnosti; procjena učinkovitosti mjera fizičke sigurnosti; kontrola osoba; pohrana klasificiranih i neklasificiranih podataka; tehnički sigurni prostori; fizička sigurnost informacijskih sustava; oprema za fizičku zaštitu klasificiranih podataka.

• Mjere fizičke sigurnosti odreñuju se tako da se uzima u obzir: stupanj tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja tajnosti, broj, oblik i način pohrane klasificiranih podataka, ovlaštenja za pristup klasificiranim podacima, te sigurnosna prosudbu o mogućim ugrozama.

•• Ne postoje opća „generalna“ rješenja Ne postoje opća „generalna“ rješenja –– ove mjere se prilagoñavaju ove mjere se prilagoñavaju konkretnoj organizaciji!konkretnoj organizaciji!

• Sigurnosna zona I, Sigurnosna zona II, Administrativna zona…

Sigurnost podataka

• Mjere informacijske sigurnosti za područje sigurnosti podataka su:

– klasificiranje i deklasificiranje podataka;– označavanje podataka;– pristup podacima;– pristup podacima;– zaštita podataka;– sustav registara;– evidencija korištenja klasificiranih podataka;– postupanje u izvanrednim situacijama;– ustupanje klasificiranih podataka drugoj državi ili

meñunarodnoj organizaciji.

Sigurnost informacijskog sustava

• Mjere informacijske sigurnosti za područje sigurnosti informacijskog sustava su:

– mjere zaštite informacijskog sustava,– upravljanje sviješću o sigurnosti i– planiranje djelovanja u izvanrednim okolnostima.– planiranje djelovanja u izvanrednim okolnostima.

Sigurnost poslovne suradnje

• Mjere informacijske sigurnosti za područje sigurnosti poslovne suradnje su:

– sklapanje klasificiranih ugovora;– certifikat poslovne sigurnosti;– sigurnosni uvjeti za sklapanje klasificiranih – sigurnosni uvjeti za sklapanje klasificiranih

ugovora;– prijevoz klasificiranog materijala;– pristup klasificiranim podacima prilikom

meñunarodnih posjeta;– razmjena osoba u sklopu projekata ili programa.

Osobni podaci – štite se u svakom slučaju• Zakon o zaštiti

osobnih podataka, NN103/03, 118/06, 41/08

• Uredba o načinu OSOBNI PODACI• Uredba o načinu

pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04)

POSEBNEKATEGORIJE

OSOBNIHPODATAKA

PODACI

Osobni podaci

• Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

• Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.

Posebne kategorije osobnih podataka

• Posebne kategorije osobnih podataka su podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom i prekršajnom postupku.

• Prema Uredbi, Mjere, postupci i osobe ovlaštene za • Prema Uredbi, Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava odreñuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s meñunarodnim preporukama za to područje (ISO 17799).

Poslovna tajna – vaša briga

• Zakon o tajnosti podataka nije regulirao područje poslovne i profesionalne tajne, već je naveo da se za navedene vrste tajni i dalje koristi već uvelike zastario Zakon o zaštiti tajnosti podataka iz 1996. godine. Takvo rješenje dovelo je do brojnih nejasnoća i loše primjene u praksi.

• U zapadnim demokracijama tajnost podataka pravnih i fizičkih osoba izvan državnog sustava (privatni sektor) regulira se internim pravilima, u skladu i oslanjajući se pri tom na pravni sustav države (zaštita intelektualnog i industrijskog vlasništva, patenti i dr.).

O poslovnoj tajni

• Definicija: poslovnu tajnu predstavljaju podaci koji su kao poslovna tajna odreñeni zakonom, drugim propisom ili općim aktom trgovačkog društva, ustanove ili druge pravne osobe, a koji predstavljaju proizvodnu tajnu, rezultate istraživačkog ili konstrukcijskog rada te druge podatke zbog čijeg bi priopćavanja neovlaštenoj osobi podatke zbog čijeg bi priopćavanja neovlaštenoj osobi mogle nastupiti štetne posljedice za njezine gospodarske interese.

•• Poslovna tajna mora biti regulirana internim aktom Poslovna tajna mora biti regulirana internim aktom organizacije organizacije –– pravilnikom!pravilnikom!

Zaštita poslovne tajne

• Ukoliko poslovna tajna nije na odgovarajući način regulirana – ne mogu se sankcionirati osobe koje ju učine javno dostupnom ili otuñe.

• Regulacija se mora prilagoditi odredbama već uvelike zastarjelog Zakona o zaštiti tajnosti podataka.podataka.

•• Tehnički zaštititi Tehnički zaštititi podatkepodatke, a pravno ne regulirati , a pravno ne regulirati poslovnu tajnu poslovnu tajnu –– znači ostaviti podatke otvorenima. znači ostaviti podatke otvorenima. Pitanju zaštite poslovnih podataka organizacije se Pitanju zaštite poslovnih podataka organizacije se pristupa integralno.pristupa integralno.

Ali to nije sve!

• Hrvatska narodna banka

• Hrvatska agencija za nadzor financijskih nadzor financijskih usluga

• Temeljem javnih ovlasti donose pravila koja dodatno reguliraju materiju tajnosti podataka!

Ali, ni to nije sve!

• Pružatelji usluga iz područja telekomunikacija, farmacije, zdravstva moraju ispuniti i dodatna pravila posebnih zakona i podzakonskihakata vezana uz tajnost podataka.podataka.

• Gore navedeno se odnosi i na organizacije koje u svom radu koriste vlastite komunikacijske sustave ili imaju zdravstvenu i sličnu službu.

Skupljanje i analiza “logova” – zašto nam to treba?

Sigurnost radi Sukladnosti?

ili

Sukladnost radi Sigurnosti ?

Uredba o mjerama informacijske sigurnosti,Članak 54.

• Kontrola uporabe informacijskih sustava podrazumijeva evidentiranje aktivnosti korisnika informacijskog sustava.

• Pored aktivnosti iz stavka 1. ovog članka, primjenjuju • Pored aktivnosti iz stavka 1. ovog članka, primjenjuju se mjere za spriječavanje zlouporabe informacijskih sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u mrežu, definiranje, pregledavanje i analiziranje zapisnika rada sustava i provoñenje analiza ranjivosti informacijskog sustava.

HNB odluka o primjerenom upravjanju informacijskim sustavom,Članak 20.

• Banka je dužna uspostaviti sustav upravljanjakorisničkim pravima pristupa koji obuhvaća procese evidentiranja, autorizacije, identifikacije i autentifikacije evidentiranja, autorizacije, identifikacije i autentifikacije te nadzora korisničkih prava pristupa.

Payment Card Industry Data Security Standard.PCI DSS:

• Regularly Monitor and Test Networks • Requirement 10: Track and monitor all access to

network resources and cardholder data

Logging mechanisms and the ability to track user activities are critical. The presence of logs in all environments allows thorough tracking and analysiswhen something goes wrong. Determining the causeof the compromise is very difficult without systemactivity logs.

HANFA Pravilnik – revizorski pregled i izvješće,Članak 15.

Izvješće o kvaliteti informatičkog sustava u društvu za osiguranjesadržava ocjenu i preporuke slijedećih područja:

1. usklañenost djelovanja informatičkog sustava s poslovnim ciljem,

2. učinkovitost djelovanja informatičkog sustava, 2. učinkovitost djelovanja informatičkog sustava, 3. politika i organizacija sigurnosti i zaštite informacijskog sustava

i podataka, 4. primjerenost vanjskih, sistemskih i ostalih kontrola, 5. tehnološka opremljenost.

Zakon o elektroničkim komunikacijama,Članak 109.

Operatori javnih komunikacijskih mreža i javnodostupnih elektroničkih komunikacijskih uslugaobvezni su zadržati podatke o elektroničkimkomunikacijama iz članka 110. ovoga Zakona u svrhukomunikacijama iz članka 110. ovoga Zakona u svrhuomogućivanja provedbe istrage, otkrivanja i kaznenogprogona kaznenih djela u skladu s posebnim zakonomiz područja kaznenog postupka te u svrhu zaštiteobrane i nacionalne sigurnosti u skladu s posebnimzakonima iz područja obrane i nacionalne sigurnosti.

Zakon o elektroničkim komunikacijama,Članak 110.

Obveza zadržavanja podataka iz članka 109. ovoga Zakona obuhvaća sljedeće vrste podataka:

– podatke potrebne za praćenje i utvrñivanje izvora komunikacije,– podatke potrebne za utvrñivanje odredišta komunikacije,– podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije,– podatke potrebne za utvrñivanje nadnevka, vremena i trajanja komunikacije,– podatke potrebne za utvrñivanje vrste komunikacije,– podatke potrebne za utvrñivanje korisničke komunikacijske opreme ili opreme

koja se smatra korisničkom komunikacijskom opremom,– podatke potrebne za utvrñivanje lokacije pokretne komunikacijske opreme.

Sukladnost – Rizici – Upravljanje rizicima

Najbolje prakse – proceduralni, organizacijski i tehni čki sigurnosni mehanizmi - kontrole:

• Pomoć pri obavljanju poslovne aktivnosti• Jednostavnost uporabe• Transparentnost prema korisniku• Relativna snaga rješenja• Vrsta kontrole:

– Prevencija– Upozorenje– Detekcija– Oporavak– Korekcija– Nadzor– Podizanje svijesti

Skupljanje logova = detekcija problemaPametna analiza logova = prevencija problema

• ISO 27002:2007, 10.10. “Nadzor”:

Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.

Potrebno je nadzirati sustave i voditi zapise o dogañajima informacijske sigurnosti. Za prepoznavanje problema informacijskih sustava potrebno je koristiti zapise operatera i zapise o zastojima.

Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti nadzora i voñenja zapisa.

Nadzor sustava treba koristiti za provjeru učinkovitosti prihvaćenih kontrola i usklañenosti sa modelom politike pristupa.

ISO 27002, Kontrola 10.10.1.: Revizijski zapisi:Potrebno je voditi i odreñeno dogovoreno vrijeme čuvati revizijske

zapise korisničkih aktivnosti, izuzetaka i sigurnosnih dogañaja radi buduće istrage i nadzora kontrole pristupa.

ISO 27002, Kontrola 10.10.4.: Zapisi administratora i operatera:

Potrebno je voditi zapise aktivnosti administratora i operatera Potrebno je voditi zapise aktivnosti administratora i operatera sustava.

ISO 27002, Kontrola 10.10.5.: Zapisi o zastojima:Potrebno je bilježiti zastoje koje prijavljuju korisnici ili sistemski

programi u vezi problema s obradom informacija ili komunikacijskim sustavima i poduzimati odgovarajuće akcije.

ISO 27002, 10.10.2: Nadzor uporabe sustava:

Pomoću procjene rizika potrebno je odrediti razinu potrebnog nadzora pojedine opreme. Neka od područja nadzora:

• identifikacija korisnika• datoteke kojima su korisnici pristupali• programi/uslužni programi koji su korisnici koristili• uporaba povlaštenih korisničkih računa• uporaba povlaštenih korisničkih računa• pokretanje i zaustavljanje sustava• priključenje/odspajanje ulazno-izlaznih ureñaja• neuspjele ili odbijene akcije korisnika• povrede politike pristupa• upozorenja sustava za otkrivanje upada• upravljanje mrežom• sustav za kontrolu pristupa• promjene ili pokušaje promjena sigurnosnih postavki i kontrola sustava

Kako postići učinkovito upravljanje logovima?

• Pomoć pri obavljanju poslovne aktivnosti• Jednostavnost uporabe• Transparentnost prema korisniku• Transparentnost prema korisniku• Relativna snaga rješenja

Hvala na pažnji!

biljana.cerin@snt.hr

www.snt.hr33

biljana.cerin@snt.hrvojkovic@vip.hr