1.11k likes | 1.25k Views
Právne normy a zákony, ktoré sa vzťahujú na informatickú bezpečnosť. Zákon č. 566/1992 Z.z. o Národnej banke Slovenska Zákon č. 46/1993 Z.z. o Slovenskej informačnej službe Zákon č. 610/1993 Z.z. o elektronických komunikáciách Zákon č. 241/2001 Z.z. o ochrane utajovaných skutočností
E N D
Právne normy a zákony, ktoré sa vzťahujú na informatickú bezpečnosť • Zákon č. 566/1992 Z.z. o Národnej banke Slovenska • Zákon č. 46/1993 Z.z. o Slovenskej informačnej službe • Zákon č. 610/1993 Z.z. o elektronických komunikáciách • Zákon č. 241/2001 Z.z. o ochrane utajovaných skutočností • Zákon č. 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov • Zákon č. 215/2002 Z.z. o elektronickom podpise • Zákon č. 428/2002 Z.z. o ochrane osobných údajov • Okrem týchto zákonov existuje množstvo ďalších, ktoré sa odvolávajú na informatickú bezpečnosť nepriamo. Sú to napr. zákon o účtovníctve, zákon o daniach, autorský zákon, trestný zákon atď.
Ochrana štátnych tajomstiev • Štátnym tajomstvom sa rozumie všetko, čo v dôležitom záujme republiky, najmä v záujme politickom, vojenskom alebo hospodárskom, má zostať utajené pred nepovolanou osobou. • Za ochranu štátnych tajomstiev zodpovedá Ministerstvo vnútra Slovenskej republiky a Národný bezpečnostný úrad. • Za vyzradenie štátneho tajomstva je uložený trest odňatia slobody na 6 mesiacov – 3 roky (v špeciálnych prípadoch na 1 – 5 rokov)
Ochrana obchodných tajomstiev • Obchodné tajomstvo tvoria všetky skutočnosti obchodnej, výrobnej alebo technickej povahy súvisiace s podnikom, ktoré majú skutočnú alebo aspoň potenciálnu materiálnu alebo nemateriálnu hodnotu, nie sú v príslušných obchodných kruhoch bežne dostupné, majú byť podľa vôle podnikateľa utajené a podnikateľ zodpovedajúcim spôsobom ich utajenie zabezpečuje. • Kto vyzvedá obchodné tajomstvo, bankové tajomstvo alebo daňové tajomstvo v úmysle vyzradiť ho nepovolanej osobe, alebo kto obchodné tajomstvo, bankové tajomstvo alebo daňové tajomstvo nepovolanej osobe úmyselne vyzradí, potresce sa odňatím slobody až na jeden rok alebo zákazom činnosti.
Ochrana obchodných tajomstiev • Kto obchodné tajomstvo, bankové tajomstvo alebo daňové tajomstvo vyzvedá v úmysle vyzradiť ho do cudziny, alebo kto obchodné tajomstvo, bankové tajomstvo alebo daňové tajomstvo úmyselne do cudziny vyzradí, potresce sa odňatím slobody na šesť mesiacov až tri roky. • Odňatím slobody na jeden rok až päť rokov sa páchateľ potresce, ak spôsobí daným činom uvedeným v odseku značnú škodu resp. na 3 – 8 rokov ak spôsobí škodu veľkého rozsahu
Ochrana bankových tajomstiev • Bankovým tajomstvom sú všetky informácie a doklady o záležitostiach, ktoré sa týkajú klientov banky alebo klientov pobočky zahraničnej banky, ktoré nie sú verejne prístupné, najmä informácie o bankových obchodoch, stavoch na účtoch a stavoch vkladov, ktoré sú banka a pobočka zahraničnej banky povinné utajovať a chrániť pred vyzradením, zneužitím, poškodením, zničením, stratou alebo odcudzením. Informácie a doklady o záležitostiach, ktoré sú chránené bankovým tajomstvom, môžu banka a pobočka zahraničnej banky poskytnúť tretím osobám len s predchádzajúcim písomným súhlasom dotknutého klienta alebo na jeho písomný pokyn, ak tento zákon neustanovuje inak.
Ochrana osobných údajov • Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. • Dozor nad spracovaním osobných údajov vykonáva Úrad na ochranu osobných údajov so sídlom v Bratislave. • Tento úrad môže uložiť tomu kto neoprávnene spracúva alebo zbiera osobné údaje pokutu do výšky 10 mil. Sk.
Zákon č. 428/2002 Z.z. o ochrane osobných údajov (ne)dôležité informácie
Základné pojmy • Spracúvaním osobných údajov sa rozumie vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie, • Informačným systémom sa rozumie akýkoľvek súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú spracúvané na dosiahnutie účelu podľa osobitných organizačných podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,
Základné pojmy • biometrickým údajom sa rozumie osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny, • auditom bezpečnosti informačného systému sa rozumie nezávislé odborné posúdenie spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov.
Účel spracúvania osobných údajov • Ak účel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovateľ pred začatím spracúvania jednoznačne vymedzí účel a zabezpečí, aby sa nespracúvali osobné údaje, ktoré a) svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje za nezlučiteľné, alebo b) sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania. • Účel spracúvania osobných údajov musí byť jasný a nesmie byť v rozpore so zákonmi. • Spracúvať možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedať účelu ich spracúvania.
Účel spracúvania osobných údajov • Od dotknutej osoby možno vyžadovať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie účelu spracúvania. K takýmto osobným údajom môže prevádzkovateľ alebo sprostredkovateľ priradiť ďalšie osobné údaje dotknutej osoby, ktoré bezprostredne súvisia s daným účelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s tým písomne súhlasí. Tento súhlas si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom. • V prípade pochybnosti o tom, že spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, že sú s daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.
Osobitné kategórie osobných údajov(podľa zákona) • Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje. • Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje. • Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí môže vykonávať len ten, komu to umožňuje osobitný zákon.
Osobitné kategórie osobných údajov(podľa zákona) • Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo b) na spracúvanie dala písomný súhlas dotknutá osoba. • Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.
Získavanie osobných údajov • Oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa alebo sprostredkovateľa, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnosť a bez vyzvania mu vopred oznámi a) názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak v mene prevádzkovateľa koná sprostredkovateľ, aj jeho názov a sídlo alebo trvalý pobyt, b) účel spracúvania osobných údajov vymedzený prevádzkovateľom alebo ustanovený osobitným zákonom; je vylúčené získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti, c) dobrovoľnosť alebo povinnosť poskytovať požadované osobné údaje, d) zákon, ktorý ustanovuje povinnosť poskytnúť požadované osobné údaje a následky odmietnutia poskytnúť osobné údaje, e) okruh užívateľov, ktorým budú osobné údaje sprístupnené,
Získavanie osobných údajov f) právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým budú osobné údaje poskytnuté, g) formu zverejnenia, ak majú byť osobné údaje zverejnené, h) krajiny cezhraničného toku osobných údajov. • Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich spracúvaní.
Získavanie osobných údajov • Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby. Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom. • Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
Zodpovednosť za bezpečnosť osobných údajov • Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. • Opatrenia podľa predchádzajúceho odseku príjme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len "bezpečnostný projekt") a zabezpečí jeho vypracovanie, ak a) informačný systém je prepojený na verejne prístupnú počítačovú sieť, alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť, b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (§ 8), alebo c) informačný systém podlieha výnimkám uvedeným v § 2 ods. 2.
Zodpovednosť za bezpečnosť osobných údajov • Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení. • Ak sú predmetom kontroly informačné systémy, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému (ďalej len "hodnotiaca správa"), ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dňa uloženia povinnosti.
Bezpečnostný projekt • Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. • Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. • Bezpečnostný projekt obsahuje najmä a) bezpeenostný zámer, b) analýzu bezpeenosti informaeného systému, c) bezpeenostné smernice.
Bezpečnostný projekt • Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnúť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení, b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia, c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti, d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
Bezpečnostný projekt • Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík, b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
Bezpečnostný projekt • Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach, b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému, c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov, d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému, e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
Povinnosť mlčanlivosti • Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov. • Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
Povinnosť mlčanlivosti • Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. • Povinnosť mlčanlivosti trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
Dohľad nad ochranou osobných údajov • Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ. • Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. • Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov, ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení.
Dohľad nad ochranou osobných údajov • Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.
Registrácia a evidencia informačných systémov • Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom. • Registráciu informačných systémov vykonáva úrad bezplatne. • Registrácii podliehajú informačné systémy, v ktorých a) sa spracúvajú osobitné kategórie osobných údajov, b) sa spracúvajú osobné údaje, ktoré sú predmetom cezhraničného toku ,alebo c) osobné údaje spracúva sprostredkovateľ
Registrácia a evidencia informačných systémov • Registrácii nepodliehajú informačné systémy uvedené v predchádzajúcom odseku , ak obsahujú a) osobné údaje týkajúce sa zdravia a všeobecne použiteľný identifikátor tých osôb, ktoré sú s prevádzkovateľom v pracovnom pomere alebo v obdobnom pracovnom vzťahu, a osôb, ktoré sú s prevádzkovateľom v štátnozamestnaneckom pomere, b) osobné údaje o členstve osôb v odborových organizáciách, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu, c) osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v náboženskej spoločnosti a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu, d) osobné údaje o členstve osôb v politických stranách alebo v politických hnutiach, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu, e) osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, orgánom územnej samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva na základe osobitného zákona, f) výlučne už zverejnené osobné údaje,
Registrácia a evidencia informačných systémov g) osobné údaje, ktoré slúžia masovokomunikačným prostriedkom výlučne pre ich informačnú činnosť, h) osobné údaje na účely preventívnej medicíny, lekárskej diagnostiky, poskytovania liečebnej alebo kúpeľnej starostlivosti a ďalších služieb zdravotnej starostlivosti a ak tieto osobné údaje spracúva zdravotnícke zariadenie, i) osobné údaje na účely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné údaje slúžiace na účely štátnej štatistiky a ak prevádzkovateľom je zariadenie, ktorému táto úloha vyplýva zo zákona, alebo j) osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa. • V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
Zákon č. 215/2002 Z.z. o elektronickom podpise(ne)dôležité informácie
Základné pojmy • verejným kľúčom sa rozumie informácia dostupná overovateľovi, ktorá slúži na overenie správnosti elektronického podpisu vyhotoveného pomocou súkromného kľúča patriaceho k danému verejnému kľúču, • podpísaným elektronickým dokumentom sa rozumie elektronický dokument, pre ktorý bol vyhotovený elektronický podpis, ak je tento elektronický dokument dostupný spolu s elektronickým podpisom daného dokumentu, • súkromným kľúčom sa rozumie tajná informácia, ktorá slúži na vyhotovenie elektronického podpisu elektronického dokumentu,
Základné pojmy • prostriedkom na vyhotovenie elektronického podpisu sa rozumie technické zariadenie alebo programové vybavenie,alebo algoritmy, alebo ich kombinácia, ktorých prostredníctvom môže podpisovateľ vyhotoviť na základe elektronického dokumentu a súkromného kľúča podpisovateľa elektronický podpis elektronického dokumentu, • bezpečným zariadením na vyhotovenie elektronického podpisu sa rozumie prostriedok na vyhotovenie elektronického podpisu, ktorý spĺňa požiadavky tohto zákona a ktorý slúži na vyhotovovanie zaručených elektronických podpisov,
Elektronický podpis • Elektronický podpis je informácia pripojená alebo inak logicky spojená s elektronickým dokumentom, ktorá musí spĺňať tieto požiadavky: a) nemožno ju efektívne vyhotoviť bez znalosti súkromného kľúča a elektronického dokumentu, b) na základe znalosti tejto informácie a verejného kľúča patriaceho k súkromnému kľúču použitému pri jej vyhotovení možno overiť, že elektronický dokument, ku ktorému je pripojená alebo s ním inak logicky spojená, je zhodný s elektronickým dokumentom použitým na jej vyhotovenie.
Elektronický podpis • Zaručený elektronický podpis je elektronický podpis, ktorý musí spĺňať podmienky uvedené na predch. slajde: a) je vyhotovený pomocou súkromného kľúča, ktorý je určený na vyhotovenie zaručeného elektronického podpisu, b) možno ho vyhotoviť len s použitím bezpečného zariadenia na vyhotovovanie elektronického podpisu, c) spôsob jeho vyhotovovania umožňuje spoľahlivo určiť, ktorá fyzická osoba zaručený elektronický podpis vyhotovila, d) na verejný kľúč patriaci k súkromnému kľúču použitému na vyhotovenie zaručeného elektronického podpisu je vydaný kvalifikovaný certifikát.
Používanie elektronického podpisu • ak možno v styku s verejnou mocou používať elektronický podpis, tento elektronický podpis musí byť zaručeným elektronickým podpisom • pri overovaní zaručeného elektronického podpisu overovateľ na základe kvalifikovaného certifikátu verejného kľúča overí, či verejný kľúč na overenie zaručeného elektronického podpisu patrí podpisovateľovi • certifikát verejného kľúča (ďalej len „certifikát“) je elektronický dokument, ktorým vydavateľ certifikátu potvrdzuje, že v certifikáte uvedený verejný kľúč patrí osobe, ktorej je certifikát vydaný (ďalej len „držiteľ certifikátu“).
Certifikát verejného kľúča • certifikát sa skladá z tela certifikátu a z elektronického podpisu tela certifikátu • telo certifikátu je elektronický dokument, ktorý obsahuje najmä a) identifikačné údaje vydavateľa certifikátu, b) identifikačné číslo certifikátu, c) identifikačné údaje držiteľa certifikátu, d) dátum a čas začiatku a konca platnosti certifikátu, e) verejný kľúč držiteľa certifikátu, f) identifikáciu algoritmov, pre ktoré je uvedený verejný kľúč určený, g) identifikáciu algoritmov použitých pri vyhotovení elektronického podpisu tela certifikátu.
Zákon č. 241/2001 Z.z. o ochrane utajovaných skutočností(ne)dôležité informácie
Základné pojmy • utajovanou skutočnosťou sa rozumie informácia alebo vec uvedená v zozname utajovaných skutočností, ktorú vzhľadom na záujem Slovenskej republiky treba chrániť pred vyzradením, zneužitím, poškodením, zničením, stratou alebo odcudzením (ďalej len "neoprávnená manipulácia"), • informáciou sa rozumie 1. obsah písomnosti, nákresu, výkresu, mapy, fotografie, grafu alebo iného záznamu, 2. obsah ústneho vyjadrenia, 3. obsah elektrického, elektromagnetického, elektronického alebo iného fyzikálneho transportného média,
Základné pojmy • oprávnenou osobou osoba, ktorá je určená na oboznamovanie sa s utajovanými skutočnosťami alebo ktorej oprávnenie na oboznamovanie sa s utajovanými skutočnosťami vzniklo zo zákona, • nepovolanou osobou osoba, ktorá nie je oprávnená oboznamovať sa s utajovanými skutočnosťami alebo ktorá nie je oprávnená oboznamovať sa s utajovanými skutočnosťami nad rozsah, ktorý jej je určený,
Utajované skutočnosti • Utajované skutočnosti sa podľa stupňa utajenia členia na a) prísne tajné, b) tajné, c) dôverné, d) vyhradené. • Stupne utajenia sa označujú slovami "Prísne tajné", "Tajné", "Dôverné" a "Vyhradené" alebo skratkami "PT", "T", "D" a "V".
Utajované skutočnosti • Stupňom utajenia Prísne tajné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo byť vážne ohrozené zachovanie ústavnosti, zvrchovanosti a územnej celistvosti štátu alebo by mohli vzniknúť nenahraditeľné a vážne škody v oblasti obrany, bezpečnosti, ekonomických záujmov, zahraničnej politiky alebo medzinárodných vzťahov, a tým mohla vzniknúť mimoriadne vážna ujma na záujmoch Slovenskej republiky • Stupňom utajenia Tajné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo byť ohrozené zahraničnopolitické postavenie, obrana, bezpečnosť a záujmy štátu v medzinárodnej a ekonomickej oblasti, a tým by mohla vzniknúť vážna ujma na záujmoch Slovenskej republiky
Utajované skutočnosti • Stupňom utajenia Dôverné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo dôjsť k poškodeniu štátnych záujmov, verejných záujmov alebo právom chránených záujmov štátneho orgánu, a tým k jednoduchej ujme na záujmoch Slovenskej republiky • Stupňom utajenia Vyhradené sa označuje utajovaná skutočnosť vtedy, ak by neoprávnená manipulácia s ňou mohla zapríčiniť poškodenie právom chránených záujmov štátneho orgánu alebo občana, ktoré by mohlo byť nevýhodné pre záujmy Slovenskej republiky
Certifikácia technických prostriedkov • Certifikáciu technických prostriedkov vykonáva Úrad alebo ním autorizovaný štátny orgán, alebo právnická osoba autorizovaná na certifikáciu technických prostriedkov; to sa nevzťahuje na technické prostriedky používané v pôsobnosti Policajného zboru v súvislosti s plnením úloh kriminálneho spravodajstva, Slovenskej informačnej služby a Vojenského spravodajstva, na ktoré vykonáva certifikáciu Ministerstvo vnútra Slovenskej republiky, Slovenská informačná služba a Vojenské spravodajstvo. • Podmienkou certifikácie technického prostriedku je posúdenie bezpečnostného projektu technického prostriedku. • Certifikát technického prostriedku sa udeľuje pre konkrétny stupeň utajenia a podmienkou jeho platnosti je dodržanie v ňom určených podmienok a pravidiel používania technického prostriedku.
Certifikácia technických prostriedkov • Certifikát udelený pre určitý stupeň utajenia platí aj pre nižší stupeň utajenia. • Certifikát technického prostriedku pre utajované skutočnosti stupňa utajenia Prísne tajné a Tajné má platnosť päť rokov a pre stupne utajenia Dôverné a Vyhradené sedem rokov. • Náklady spojené s certifikáciou uhrádza ten, kto o certifikáciu žiada. • Úrad sa splnomocňuje na vydanie všeobecne záväzného právneho predpisu, ktorým ustanoví podrobnosti o postupe pri certifikácii technických prostriedkov.
Certifikácia systémových prostriedkov • Systémová ochrana utajovaných skutočností stupňa Dôverné alebo vyšších stupňov, spracúvaných na technických prostriedkoch, sa zabezpečuje certifikovanými systémovými prostriedkami. • Certifikáciu systémových prostriedkov vykonáva Úrad alebo ním autorizovaný štátny orgán, alebo právnická osoba autorizovaná na certifikáciu systémových prostriedkov; to sa nevzťahuje na systémové prostriedky používané v pôsobnosti Slovenskej informačnej služby a Vojenského spravodajstva, na ktoré vydáva certifikáciu Slovenská informačná služba a Vojenské spravodajstvo. • Medzi certifikované systémové prostriedky patria najmä a) operačné systémy, ich jednotlivé verzie a modifikácie, b) databázové systémy, c) produkty na správu a prevádzku počítačových sietí, d) produkty na správu a prevádzku elektronickej pošty, e) firewally a špeciálne systémové bezpečnostné produkty, f) iné funkčne špecializované systémové produkty, určené na tvorbu, spracovanie, prenos alebo na uchovávanie utajovaných skutočností. • Úrad sa splnomocňuje na vydanie všeobecne záväzného právneho predpisu obsahujúceho zoznam certifikovaných systémových prostriedkov.
Niektoré základné skutočnosti stupňa utajenia Prísne tajné • Komplexné plány uvádzania Slovenskej republiky do brannej pohotovosti a komplexné plány a dokumentácia zabezpečenia jej obrany. • Katalógy (zoznamy) údajov o trigonometrických bodoch zariadení na obranu štátu a ostatných účelových zariadení v súradnicovom systéme 1942. • Súhrnné údaje o vojenskej výrobe a úlohy rozvoja vojenskej vedy a techniky. • Celková organizácia, zloženie, úlohy, zabezpečenie činnosti, prostriedky, evidencie a súhrnné výsledky spravodajskej činnosti. • Súhrnné údaje výskumu a vývoja v oblasti kryptológie, špeciálne formy a metódy kryptológie používané v • šifrovej ochrane informácií. • Informácie a skutočnosti z medzinárodných rokovaní o zmluvných dokumentoch, schválené zmluvy a • protokoly, ak to ich charakter vyžaduje alebo ak sa na tom zmluvné strany dohodnú. • Údaje o príprave zásadných menových opatrení. TOP SECRET
Niektoré základné skutočnosti stupňa utajenia Tajné • Čiastkové úlohy vedecko-technického rozvoja výzbroje a ostatnej techniky, výskumné a vývojové práce dôležité pre obranu a bezpečnosť štátu. • Súhrnné údaje o špeciálnych psychologických operáciách. • Formy a metódy kontroly bezpečnosti systémov a prostriedkov šifrovej ochrany informácií. • Formy, metódy, prostriedky, zameranie, plánovacie dokumenty a výsledky spravodajskej činnosti vrátane analytickej a informačnej činnosti. • Krízový plán ústredného orgánu štátnej správy. • Umiestnenie, preprava a spôsob zabezpečenia celkových štátnych zásob drahých kovov a peňažných • prostriedkov v cudzej mene. • Krízový štatistický informačný systém. • Určené údaje o preprave jadrového materiálu a rádioaktívneho odpadu zaradeného do I. kategórie. SECRET
Niektoré základné skutočnosti stupňa utajenia Dôverné • Čiastkové údaje o výstavbe ozbrojených síl, ozbrojených bezpečnostných zborov a ozbrojených zborov. • Vybrané údaje o výskume, vývoji, výrobe a prevádzke systémov a prostriedkov šifrovej ochrany informácií. • Organizácia utajeného vládneho a zahraničného spojenia. • Vybrané údaje o stave a spôsobe zabezpečenia ochrany prezidenta republiky, osôb určených vládou Slovenskej republiky, určených objektov a zahraničných delegácií. • Opatrenia hospodárskej mobilizácie a jej pripravenosť. • Čiastkové informácie o technológii zabezpečenia a systémoch ochrany výroby cenín a dokumentov proti falšovaniu. • Mapové podklady a údaje o území, údaje bázy dát súvisiacej s tvorbou lesného hospodárskeho plánu, údaje o vojenskej stavebnej činnosti, údaje konkrétneho vojenského využitia a evidencie pohybu osôb a techniky, týkajúce sa území určených na zabezpečovanie obranyschopnosti štátu i vo vzťahu k ochrane životného prostredia. CONFIDENTAL
Niektoré základné skutočnosti stupňa utajenia Vyhradené • Údaje o opatreniach na potláčanie trestnej činnosti, vyhodnotenie informácií a poznatkov. • Vybrané údaje súvisiace s činnosťou spravodajských zložiek. • Určené údaje o preprave jadrového materiálu a rádioaktívneho odpadu zaradeného do III. kategórie. • Pracovné informácie, dokumenty a skutočnosti z diplomatického pôsobenia v rámci medzinárodných stykov, ak to ich charakter vyžaduje. • Informácie a výsledky opatrení a výskumov v oblasti disciplíny, hodnotových orientácií a psychodiagnostických vyšetrení príslušníkov ozbrojených síl, ozbrojených bezpečnostných zborov a bezpečnostných zborov. • Návrhy, žiadosti a informácie súvisiace s úkonmi v prípravnom konaní trestnom, ktoré by mohli viesť kmareniu prípravného konania. RESTRICTED