1.57k likes | 2.41k Views
Zakonska regulativa informacijske sigurnosti. Aco Dmitrović @hgi-cgs.hr. Vrijedi za sve organizacije. Zakon o elektroničkom potpisu (NN 10/02) Zakon o elektroničkoj ispravi (NN 150/05) Zakon o zaštiti osobnih podataka (NN 103/03)
E N D
Zakonska regulativa informacijske sigurnosti Aco Dmitrović @hgi-cgs.hr
Vrijedi za sve organizacije • Zakon o elektroničkom potpisu (NN 10/02) • Zakon o elektroničkoj ispravi (NN 150/05) • Zakon o zaštiti osobnih podataka (NN 103/03) • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) • Zakon o pravu na pristup informacijama (NN 172/03)
TDV i lokalne samouprave • Zakon o sigurnosno-obavještajnom sustavu (NN 32/02) • Zakon o sigurnosnim službama (NN 32/02) • Zakon o tajnosti podataka (NN 79/07) • Zakon o informacijskoj sigurnosti (NN 79/07) • Uredba o mjerama informacijske sigurnosti (NN 46/08) • Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima (NN 72/07) • Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07) • Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08)
Banke i kreditne organizacije • Odluka o primjerenom upravljanju informacijskim sustavom (HNB, NN 80/07) • Smjernice za adekvatno upravljanje rizikom eksternalizacije (HNB listopad 2005.) • Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (HNB ožujak 2006.) • Smjernice za ovladavanje rizikom informacijskog sustava u kreditnim unijama (HNB studeni 2007)
Ostale financijske institucije • Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog pregleda i revizorskog izvješća društava za osiguranje (NN 76/06) • Pravilnik o uvjetima za obavljanje poslova ovlaštenog društva (NN 14/07) • Pravilnik kojim se uređuje poslovanje društva za upravljanje investicijskim fondovima (NN 25/07)
Djelomično… • Kazneni zakon (110/97) • Zakon o obveznim odnosima (NN 35/5) • Zakon o arhivskom gradivu i arhivima (NN 105/97) • Zakon o zaštiti i spašavanju (NN 174/04) • Zakon o elektroničkoj trgovini (NN 173/03)
Zakon o zaštiti i spašavanju • NN 174/04 Čl. 18 Pravne osobe dužne su organizirati zaštitu i spašavanje od prijetnji i posljedica nesreća, većih nesreća i katastrofa i provoditi pripreme, poduzimati mjere pripravnosti i aktivnosti u katastrofama i otklanjanju posljedica te izvršavati druge obveze propisane ovim Zakonom, drugim propisima i svojim općim aktima • IT: Business Continuity Management
Kazneni zakon • NN 110/97, izmjene i dopune (NN: 27/98, 129/00, 51/01,105/04 i 84/05) • 2004. dodana kaznena djela cyber-kriminala • čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava • Odredbe Konvencije o kibernetičkom kriminalitetu o tajnosti, nepovredivosti i dostupnosti podataka spremljenih na računalima i samih računala • Kazneni progon se vrši po službenoj dužnosti • Za inform. sigurnost relevantničlanci 223 i 224
Zakon o obveznim odnosima • NN 35/05Uređuje osnove obveznih odnosa (opći dio) te ugovorni i izvanugovorni obvezni odnosi (posebni dio) • Ne sadrži kazne • nepoštivanje dovodi do odgovornosti za štetu • neka ponašanja mogu predstavljati kazneno djelo (npr. prijevara) • Za informacijsku sigurnost relevantan čl. 293.
Zakon o arhivskom gradivui arhivima • NN 105/97 • Arhivsko je gradivo od interesa za Republiku Hrvatsku i ima njezinu osobitu zaštitu • Arhivsko i registraturno gradivo zaštićeno je bez obzira na to u čijem je vlasništvu ili posjedu, te je li registrirano ili evidentirano
Registraturno gradivo je cjelina zapisa nastalih djelovanjem pravne ili fizičke osobe • Arhivsko gradivo nastaje odabirom iz registraturnog gradiva • od trajnog značenja za kulturu, povijest i druge znanosti • Arhivi su ustanove za čuvanje, zaštitu, obradu i korištenje AG • Pismohrana je ustrojstvena jedinica u kojoj se čuva AG do predaje nadležnom arhivu
Hrvatski državni arhiv • Vodi registar arhivskih fondova i zbirki • Vodi upisnik svih arhiva i vlasnika arhivskog gradiva • S ostalim arhivama • Provodi mjere zaštite AG i brine za njegovu sigurnost • Obavlja stručni nadzor • Obavlja sigurnosno i zaštitno snimanje, restauratorske i konzervatorske poslove
Zakon o elektroničkom potpisu NN 10/02
Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta • Napredan elektronički potpis – pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4.
Čl. 4. Napredan elektronički potpis: • je povezan isključivo s potpisnikom • nedvojbeno identificira potpisnika • nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika • sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka
Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata • Ne može se odbiti prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektroničkom obliku s elektroničkim potpisom • Iznimke: nekretnine, oporuke, (pred)bračni ugovori, darovanje imovine, nasljeđivanje…
Certifikat • Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa • Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis
Kvalificirani certifikat • oznaku o tome da se radi o kvalificiranom certifikatu, • identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba), • identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište). • podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika, • podatke o početku i kraju važenja certifikata, • identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja), • napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata, • ograničenja vezana za uporabu certifikata, ako ih ima, • ograničenja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.
Ministarstvo gospodarstva • Vodi evidenciju o davateljima usluga certificiranja • Ministar gospodarstva pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispunjavanju uvjeta • Ne treba dozvola za obavljanje usluga certificiranja • Usluge certificiranja mogu obavljati samo registrirani/evidentirani davatelji usluga
Uvjeti • organizacija rada koja jamči kvalitetu • financijska i materijalna sredstva za trajnije izvođenje usluge certificiranja i pokrivanje šteta, osiguranje i sl. • Kvalificirano osoblje za tehničke poslove, vođenje registra i zaštitu osobnih podataka • tehničku i programsku osnovicu koja podržava međunarodne standarde • sustav fizičke zaštite uređaja, opreme i podataka • zaštitu od neovlaštenog pristupa i oštećenja informacija
Uvjeti… • osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata • osiguranu provjeruidentiteta potpisnika • pouzdane mjere protiv krivotvorenja • osiguranje od rizika moguće štete • sustav pohrane • sigurnosni sustav • zaštita od neovlaštenog kopiranja, pristupa… • dostupnost samo za odobrenu svrhu • informiranje o točnim uvjetima korištenja
Zakon o elektroničkoj ispravi NN 150/05
Elektronička isprava • jednoznačno povezan cjelovit skup podataka koji su • elektronički oblikovani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju • sadrži svojstva kojima se utvrđuje izvor (stvaratelj) • utvrđuje vjerodostojnost sadržaja • dokazuje postojanost sadržaja u vremenu • Sadržaj elektroničke isprave uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.
Izvornik i kopije • Svaki pojedinačni primjerak elektroničke isprave koji je potpisan elektroničkim potpisom smatra se u smislu ovoga Zakona izvornikom • Elektronička isprava ne može imati elektroničku presliku (presliku u elektroničkom obliku) • Ako ista osoba izradi više isprava s istim sadržajem, u elektroničkom obliku i na papiru, te se isprave smatraju neovisnim • Isprava izrađena na papiru ne smatra se preslikom elektroničke isprave
Preslika na papiru • Izrađuje se ovjerom ispisa vanjskog obrasca prikaza elektroničke isprave na papiru uz primjenu postupaka predviđenih zakonom i drugim propisima • Ovjeru ispisa obavljaju • ovlaštene osobe u tijelima javne vlasti • javni bilježnik • Ispis na papiru mora sadržavati oznaku da se radi o preslici elektroničke isprave
Čuvanje elektroničkih isprava • u informacijskom sustavu ili na medijima koji omogućuju trajnost elektroničkog zapisa za utvrđeno vrijeme čuvanja i čine elektroničku arhivu • u čitljivom obliku za cijelo vrijeme čuvanja dostupne ovlaštenim osobama • čuvaju se podaci o elektroničkim potpisima • vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme, način i oblik u kojem je zaprimljena u sustav na čuvanje • pohranjene uz razumno jamstvo da ne mogu biti mijenjane i da se ne mogu neovlašteno brisati • postupci održavanja i zamjene medija za pohranu elektroničkih isprava ne narušavaju cjelovitost i nepovredivost elektroničkih isprava
Zakon o tajnosti podataka NN 79/07
Podatak • Dokument, odnosno svaki napisani, umnoženi, nacrtani, slikovni, tiskani, snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podatka, saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija, koja s obzirom na svoj sadržajima važnost povjerljivosti i cjelovitosti za svoga vlasnika
Klasificirani podatak • Podatak koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen stupanj tajnosti • Podatak kojeg je Republici Hrvatskoj tako označenog predala druga država ili međunarodna organizacija
Neklasificirani podatak • Podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe • Podatak koji je Republici Hrvatskoj tako označenog predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje
Klasifikacija • Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze • Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran • postaje neklasificirani s ograničenom uporabom samo u službene svrhe
Vlasnik podatka je nadležno tijelo u okviru čijeg djelovanja je klasificirani ili neklasificirani podatak nastao • Certifikat je uvjerenje o sigurnosnoj provjeri (osoblja) koje omogućava pristup klasificiranim podacima
Zloporaba • Klasificiranim podatkom ne može se proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim tijelima
Propisuje vrste tajni državna službena vojna profesionalna poslovna i stupnjeve tajnosti vrlo tajno tajno povjerljivo Zakon o zaštiti tajnosti podataka (1996.)
Zakon o tajnosti podataka(2007.) • Za klasificirane podatke određuje samo stupnjeve tajnosti • Vrlo tajno • Tajno • Povjerljivo • Ograničeno
Uži opseg • Klasificirati se mogu podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva ukoliko su od sigurnosnog interesa za RH • Ne spominje se poslovna i profesionalna tajna • vrijede odredbe starog zakona • Ministarstvo pravosuđa treba prilagoditi zakone
Čl. 6. Vrlo tajno • Podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske, a osobito sljedećim vrijednostima: • temelji Ustavom utvrđenog ustrojstva RH • neovisnost, cjelovitost i sigurnost RH • međunarodni odnosi RH • obrambena sposobnost i sig-obavještajni sustav • sigurnost građana • osnove gospodarskog i financijskog sustava RH • znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH
Ostali stupnjevi tajnosti • TAJNO • podaci čije bi neovlašteno otkrivanje teško naštetilo vrijednostima iz čl. 6. • POVJERLJIVO • podaci čije bi neovlašteno otkrivanje naštetilo vrijednostima iz čl. 6. • OGRANIČENO • podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju zadaća državnih tijela
Postupak klasificiranja • Obavlja se pri nastanku podataka • Prilikom periodične procjene • Vlasnik podatka dužan je odrediti najniži stupanj tajnosti koji osigurava zaštitu interesa
Periodična procjena • VRLO TAJNO najmanje jednom u 5 godina • TAJNO najmanje jednom u 4 godine • POVJERLJIVO najmanje jednom u 3 godine • OGRANIČENO najmanje jednom u 2 godine • O promjeni stupnja tajnosti ili o deklasifikaciji podatka vlasnik će pisanim putem izvijestiti sva tijela kojima je podatak bio dostavljen
Interes javnosti • Vlasnik podatka dužan je ocijeniti razmjernost između prava na pristup informacijama i zaštite vrijednosti • Prije donošenja odluke vlasnik podatka je dužan zatražiti mišljenje Ureda Vijeća za nacionalnu sigurnost
Pristup • Pristup klasificiranim podacima • Osobe kojima je to nužno za obavljanje posla • Imaju izdano uvjerenje o obavljenoj sigurnosnoj provjeri (certifikat) • Organizacije podnose UVNS-u zahtjeve za izdavanje certifikata za zaposlenike, koji bi u okviru svog djelokruga trebali imati pravo pristupa klasificiranim podacima
Trajanje certifikata • Certifikat se izdaje, ako ne postoje sigurnosne zapreke, na rok od pet godina za stupnjeve • Vrlo tajno • Tajno • Povjerljivo
Zakon o informacijskoj sigurnosti NN 79/07
Opseg • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima koje u svom djelokrugu koriste klasificirane i neklasificirane podatke • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima
Izvan opsega • ZIS se ne primjenjuje na IS pravnih i fizičkih osoba koje ne dolaze u dodir s podacima od javnog značenja • Trgovačka društva, banke itd. • Kod njih je primjena pravila i dobre prakse koju ZIS propisuje dobrovoljna
Međunarodna praksa • Upravljanje sigurnošću na razini države: • Središnje državno tijelo za IS • National Security Authority – NSA • Središnje tijelo za tehnička područja IS • National Communication Security Authority NCSA • ili InfoSec Authority - IA
RH • Ured Vijeća za nacionalnu sigurnost • UVNS - naš NSA • Zavod za sigurnost informacijskih sustava • ZSIS - naš NCSA, za tehnička pitanja
Informacijska sigurnost • Stanje povjerljivosti, cjelovitosti i raspoloživosti podataka • Postiže se primjenom propisa i standarda IS i organizacijskom podrškom • Mjere IS su pravila zaštite podataka na fizičkoj, tehničkoj i organizacijskoj razini