1 / 30

Skúsenosti z bezpečnostných projektov na ochranu o sobných údajov podľa zákona č. 428/2002

Skúsenosti z bezpečnostných projektov na ochranu o sobných údajov podľa zákona č. 428/2002. Tempest, s.r.o. Ing. Karin Brabcová, CISA, CISSP Ing. Branislav Mitas Bratislava, 26.11.2003. Agenda. Zákon č. 428/2002 o ochrane osobných údajov Požiadavky na bezpečnostné projekty

breck
Download Presentation

Skúsenosti z bezpečnostných projektov na ochranu o sobných údajov podľa zákona č. 428/2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Skúsenosti z bezpečnostných projektov na ochranu osobných údajov podľa zákona č. 428/2002 Tempest, s.r.o. Ing. Karin Brabcová, CISA, CISSP Ing. Branislav Mitas Bratislava, 26.11.2003

  2. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP • Skúsenosti a odporúčania • Diskusia

  3. Zákon č. 428/2002o ochrane osobných údajov (OÚ) • Čo rieši? • ochranu osobných údajov fyzických osôb pri ich spracúvaní • Na koho sa vzťahuje? • na každú fyzickú a právnickú osobu, ktorá spracúva osobné údaje • Na koho sa nevzťahuje? • spracúvanie osobných údajov pre osobné alebo domáce činnosti • niektoré orgány štátnej správy (NBÚ, SIS, ...)

  4. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP • Skúsenosti a odporúčania • Diskusia

  5. Požiadavky na bezpečnostné projekty I • Kedy je potrebné vypracovať bezpečnostný projekt? • IS pripojený na verejne prístupnú počítačovú sieť • IS je prevádzkovaný v počítačovej sieti, ktorá je pripojená na verejne prístupnú počítačovú sieť • v IS sú spracúvané osobitné kategórie osobných údajov

  6. Požiadavky na bezpečnostné projekty I • Praktické skúsenosti • Povinnosť vypracovať bezpečnostný projekt sa vzťahuje na všetky spoločnosti, ktoré prevádzkujú personálny IS (rodné číslo) • Kedy je potrebné vypracovať bezpečnostný projekt? • IS pripojený na verejne prístupnú počítačovú sieť • IS je prevádzkovaný v počítačovej sieti, ktorá je pripojená na verejne prístupnú počítačovú sieť • v IS sú spracúvané osobitné kategórie osobných údajov

  7. Požiadavky na bezpečnostné projekty II • Vypracovanie bezpečnostného projektu • interne alebo externe • prevádzkovateľ má zodpovednosť za ochranu OÚ → záruky a odborná spôsobilosť dodávateľa

  8. Požiadavky na bezpečnostný projekt II • Praktické skúsenosti • Výhodou je osloviť spoločnosť zaoberajúcu sa bezpečnosťou, projekt by mali spracúvať špecialisti na túto oblasť • Vypracovanie bezpečnostného projektu • Interne alebo externe • prevádzkovateľ má zodpovednosť za ochranu OÚ → záruky a odborná spôsobilosť dodávateľa

  9. Požiadavky na bezpečnostné projekty III Požiadavky na bezpečnostný projekt • vypracovaný v súlade: • so základnými pravidlami bezpečnosti IS vydanými bezpečnostnými štandardami • právnymi predpismi (najmä ZOOÚ) • medzinárodnými zmluvami

  10. Požiadavky na bezpečnostné projekty III • Praktické skúsenosti • Zákon nešpecifikuje štandardy - za výber zodpovedá prevádzkovateľ. • Vhodné je použiť medzinárodne uznávané bezpečnostné štandardy (napr. STN ISO 17799) Požiadavky na bezpečnostný projekt • vypracovaný v súlade: • so základnými pravidlami bezpečnosti IS vydanými bezpečnostnými štandardami • právnymi predpismi (najmä ZOOÚ) • medzinárodnými zmluvami

  11. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP • Skúsenosti a odporúčania • Diskusia

  12. Čo je BP na ochranu osobných údajov? Bezpečnostný projekt • výsledný produkt analytického riešenia bezpečnosti • predkladá postupy riešenia s popisom praktických bezpečnostných opatrení Bezpečnostný projekt vymedzuje • rozsah technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na IS

  13. Rozsah bezpečnostného projektu Rozsah bezpečnostného projektu je závislý od: • rozsahu a typu spracúvaných osobných údajov • komplexnosti informačných systémov • spolupracujúcich subjektov a typu spolupráce

  14. Rozsah bezpečnostného projektu • Praktické skúsenosti • Tlak prevádzkovateľov na podrobnosť bezpečnostného projektu – presná špecifikácia bezpečnostných opatrení Rozsah bezpečnostného projektu je závislý od: • rozsahu a typu spracúvaných osobných údajov • komplexnosti informačných systémov • spolupracujúcich subjektov a typu spolupráce

  15. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP: • Bezpečnostný zámer • Analýza bezpečnosti IS • Bezpečnostné smernice • Skúsenosti a odporúčania • Diskusia

  16. Bezpečnostný zámer Bezpečnostný zámer • vymedzuje základné bezpečnostné ciele • špecifikuje požiadavky na bezpečnosť IS, ktoré požaduje zadávateľ od riešiteľa bezpečnostného projektu Obsah bezpečnostného zámeru • bezpečnostné ciele a požadované bezpečnostné opatrenia • špecifikácia opatrení a spôsob ich využitia • vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti • vymedzenie hraníc určujúcich zvyškové riziká

  17. Bezpečnostný zámer • Praktické skúsenosti • Priexternom riešení spracuje bezpečnostný zámer dodávateľ na základe konzultácie so zadávateľom Bezpečnostný zámer • Vymedzuje základné bezpečnostné ciele • špecifikácia požiadaviek na bezpečnosť IS, ktoré požaduje zadávateľ od riešiteľa bezpečnostného projektu Obsah bezpečnostného zámeru • bezpečnostné ciele a požadované bezpečnostné opatrenia • Špecifikácia opatrení a spôsob ich využitia • vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti • vymedzenie hraníc určujúcich zvyškové riziká

  18. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP: • Bezpečnostný zámer • Analýza bezpečnosti IS • Bezpečnostné smernice • Skúsenosti a odporúčania • Diskusia

  19. Analýza bezpečnosti IS Analýza bezpečnosti IS • podrobný rozbor stavu bezpečnosti z hľadiska možného útoku na dôvernosť, integritu, dostupnosť osobných údajov Rozsah analýzy bezpečnosti IS • Kvalitatívna analýza rizík – zoznam hrozieb s uvedením rozsahu možného rizika • Návrh opatrení - určenie metód a prostriedkov ochrany osobných údajov • Posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi

  20. Analýza bezpečnosti IS Praktické skúsenosti Použité vstupy • rozhovory so zamestnancami zadávateľa • poskytnuté materiály • obhliadky vykonané priamo v priestoroch zadávateľa Analýza bezpečnosti IS • podrobný rozbor stavu bezpečnosti z hľadiska možného útoku na dôvernosť, integritu, dostupnosť osobných údajov Rozsah analýzy bezpečnosti IS • Kvalitatívna analýza rizík – zoznam hrozieb s uvedením rozsahu možného rizika • Návrh opatrení - určenie metód a prostriedkov ochrany osobných údajov • Posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi.

  21. Analýza bezpečnosti IS Praktické skúsenosti Analýza rizík Zraniteľnosti: • nesúlad s požiadavkami ZOOÚ • nesúlad so základnými pravidlami bezpečnosti IS (napr. STN ISO 17799) Analýza bezpečnosti IS • podrobný rozbor stavu bezpečnosti z hľadiska možného útoku na dôvernosť, integritu, dostupnosť osobných údajov Rozsah analýzy bezpečnosti IS • Kvalitatívna analýza rizík – zoznam hrozieb s uvedením rozsahu možného rizika • Návrh opatrení - určenie metód a prostriedkov ochrany osobných údajov • Posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi.

  22. Analýza bezpečnosti IS Praktické skúsenosti Bezpečnostné opatrenia • primeranosť – návrh opatrení podľa výšky a závažnosti rizík • vypracovávané s ohľadom na ich realizovateľnosť u zadávateľa Analýza bezpečnosti IS • podrobný rozbor stavu bezpečnosti z hľadiska možného útoku na dôvernosť, integritu, dostupnosť osobných údajov Rozsah analýzy bezpečnosti IS • Kvalitatívna analýza rizík – zoznam hrozieb s uvedením rozsahu možného rizika • Návrh opatrení - určenie metód a prostriedkov ochrany osobných údajov • Posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi.

  23. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP: • Bezpečnostný zámer • Analýza bezpečnosti IS • Bezpečnostné smernice • Skúsenosti a odporúčania • Diskusia

  24. Bezpečnostné smernice Bezpečnostné smernice • sú základnými riadiacimi dokumentmi pre používateľov IS • obsahujú súhrn základných pravidiel, ktoré treba rešpektovať na dosiahnutie primeranej úrovne ochrany osobných údajov Požiadavky ZOOÚ • priamo definuje požiadavky na obsah bezpečnostných smerníc • súčasne musia byť smernice v súlade s bezpečnostnými normami Prečo bezpečnostné smernice? • zvýšenie bezpečnostnej úrovne spoločnosti → stúpa kvalita práce + kredit spoločnosti

  25. Bezpečnostné smernice • Praktické skúsenosti: • Bezpečnostné smernice sú vypracovávané pri externom projekte na základe konzultácií so zadávateľom • Externe spracované len podklady (zásady pre bezpečnostné smernice): • zamestnanci zadávateľa poznajú prostredie • ľahšia komunikácia • zníženie celkových nákladov na projekt • nedostatok odborných znalostí Bezpečnostné smernice • sú základnými riadiacimi dokumentmi pre používateľov IS • obsahujú súhrn základných pravidiel, ktoré treba rešpektovať na dosiahnutie primeranej úrovne ochrany osobných údajov Požiadavky ZOOÚ • priamo definuje požiadavky na obsah bezpečnostných smerníc • súčasne musia byť smernice v súlade s bezpečnostnými normami Prečo bezpečnostné smernice? • zvýšenie bezpečnostnej úrovne spoločnosti → stúpa kvalita práce + kredit spoločnosti

  26. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP • Skúsenosti a odporúčania • Diskusia

  27. Priebeh bezpečnostného projektu • Dĺžka trvania • Rozsah prác

  28. Ďalšie odporúčania • Zvážiť komplexné riešenie bezpečnosti • Ďalej aktívne pracovať s projektom Bezpečnostný projekt na ochranu osobných údajov Komplexné riešenie bezpečnosti 50% - 75%

  29. Agenda • Zákon č. 428/2002 o ochrane osobných údajov • Požiadavky na bezpečnostné projekty • Čo je BP na ochranu osobných údajov? • Obsah BP • Skúsenosti a odporúčania • Diskusia

  30. Otázky a odpovede ???

More Related