Bezpečnost informací a právní á í požadavky ž
Brno, 12. prosince 2013
Právní prostředí v ČR Stá jí í stav Stávající t „Vezmeme-li v úvahu, jaký - s prominutím - maglajz, vzniká v českém právním systému kvůli permanentním změnám jak z dílny zákonodárců, tak z dílny Ústavního soudu, je samotné zorientování se v tom, která že verze je platná právě nyní, téměř heroický úkol….“
Tolik citát z publikace „Všechno je jinak aneb Co nám neřekli o důchodu, euru a budoucnosti“ autorů Pikoryy a Šichtařové,, GRADA Publishing g a.s.,, 2011,, ISBN 978-80247-4207-6.
Management informační bezpečnosti
2
Právo na informace Je základním motivem veškerého „informatického snažení“ a j řřešeno je š zákonem. ák Zákon č. 106/1999 Sb. řeší svobodný přístup k informacím Změna: 101/2000 Sb. Změna: 159/2000 Sb. Změna: 39/2001 Sb. Změna: 413/2005 Sb. Změna: 61/2006 Sb. Změna: 110/2007 Sb. Změna: 32/2008 Sb. Změna: 254/2008 Sb. Změna: 274/2008 Sb. Změna: 123/2010 Sb. Změna: 227/2009 Sb. Změna: 375/2011 Sb. Změna: 167/2012 Sb. Management informační bezpečnosti
3
Informační systémy veřejné správy (ISVS) Požadavky zákona č. 365/2000 Sb. o informačních systémech veřejné ř j é správy á a jeho j h novely l - zákona ák č. č 81/2006 Sb. Sb
Management informační bezpečnosti
4
Zákon č. č 81/2006 Sb Sb. a č č. 365/2000 Sb., Sb o ISVS 5 – Dlouhodobé 5a Dl h d bé řízení ří í informačních i f č í h systémů té ů veřejné ř j é správy á (1) Orgány veřejné správy vytvářejí a vydávají informační koncepci, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. … K provedení § 5a odst. 1 až 3 zákona byla vypracována vyhláška č. 529/2006 Sb.
5b – Bezpečnost informačních systémů veřejné správy (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům. ž d ků Management informační bezpečnosti
5
Vyhláška č. č 529/2006 Sb. Sb o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a op požadavcích na řízení bezpečnosti p a kvality y informačních systémů y veřejné j správy p y
4 – Dlouhodobé cíle v oblasti řízení bezpečnosti (1) Orgán veřejné správy v informační koncepci stanoví podle § 2 odst. 1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení bezpečnosti informačních systémů veřejné správy; těmito cíly jsou vždy - a) bezpečnost dat, která jsou v těchto systémech zpracovávána, - b) bezpečnost technických a programových prostředků podle § 2 písm. a) zákona, - c) bezpečnost služeb, služeb které jsou prostřednictvím těchto systémů poskytovány poskytovány.
(2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační koncepci stanoví požadavky na bezpečnost informačních systémů veřejné správy. (3) Orgán veřejné správy v informační koncepci stanoví plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, plnění včetně časového harmonogramu jejich plnění. Management informační bezpečnosti
6
Ochrana osobní údajů Požadavky zákona č. 101/2000 Sb., který je základním právním předpisem upravujícím ochranu osobních údajů a činnost Úřadu pro ochranu osobních údajů (ÚOOÚ)
ÚOOÚ Úř d pro ochranu Úřad h osobních b í h úd údajů jů http://www.uoou.cz/uoou.aspx Management informační bezpečnosti
7
Zákon č. č 101/2000 Sb Sb., o ochraně osobních údajů 4 – Vymezení pojmů j) správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,
6 Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou výslovně uvedeno,, v jakém rozsahu,, za jakým formu. Musí v ní být ý zejména j ý j j ý účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.
8 Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. … Management informační bezpečnosti
8
Zákon č. č 101/2000 Sb Sb., o ochraně osobních údajů 12 – Přístup Pří t subjektu bj kt úd údajů jů k iinformacím f í (1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat. ... (4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.
13 – Povinnosti osob při ř zabezpečení č í osobních í údajů ú ů (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít nebo nahodilému přístupu k jejich j k neoprávněnému p p p k osobním údajům, j j j změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.
Management informační bezpečnosti
9
Jak má subjekt subjekt, který zpracovává OÚ OÚ, postupovat? V prvníí řadě ř dě je j povinností i tí správce á nebo b zpracovatele t l vyhodnotit h d tit rizika i ik a stanovit prostředky a způsoby ochrany osobních údajů Identifikuje kategorie osobních údajů a stanoví účel jejich zpracování U citlivých údajů zváží nezbytnost zpracování V případě že sám nezpracovává, nezpracovává musí určit vztah správce vs. vs zpracovatel Přijme opatření a určí formu zdokumentování Nastaví proces přístupu subjektů k údajům Splní oznamovací povinnost vůči Úřadu, případně zprovozní vlastní registr O á í Úřadu Oznámí Úř d provoz kamerového k éh systému té se záznamem á
Management informační bezpečnosti
10
Oblasti veřejné správy, správy kde dochází ke zpracování OÚ Př t k á agenda Přestupková d Matrika a evidence osob Mzdy a personalistika zaměstnanců úřadu Místní a správní poplatky (např. psi, užívání veřejného prostranství, odpady, atd.) Územní řízení a souhlasy Stavební povolení, kolaudační rozhodnutí Pronájem bytů, budov a pozemků Správa hřbitovů Pečovatelská služba, domovy důchodců, … Knihovny (evidence čtenářů) Další (městská policie, místní zpravodaje, …)
Management informační bezpečnosti
11
Další relevantní zákony
Management informační bezpečnosti
12
Další zákony (119/2007 Sb Sb.)) Dne 24. 5. 2007 nabyl účinnosti zákon č. 119/2007 Sb., kterým se mění Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ů bil ti ve znění ě í pozdějších dější h předpisů ř d i ů Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti ve znění pozdějších předpisů způsobilosti, nahradil j ý skutečnostech,, kterýý pozbyl p y platnosti p dnem 31. p prosince Zákon č. 148/1998 Sb.,, o utajovaných 2003 Změna: 119/2007 Sb.
Změna: 250/2008 Sb.
Změna: 177/2007 Sb Sb.
Změna: 41/2009 Sb Sb.
Změna: 296/2007 Sb.
Změna. 227/2009 Sb.
Změna: 32/2008 Sb.
Změna. 281/2009 Sb.
Změna: 124/2008 Sb., 126/2008 Sb.
Změna: 255/2011 Sb. (od. 21.7.2011)
NBÚ Národní á d í bezpečnostní b č í úřad úř d http://www.nbu.cz/cs/ Management informační bezpečnosti
13
Další zákony (480/2004 Sb Sb.)) Zákon č. 480/2004 Sb., o některých službách informační bezpečnosti Tento zákon upravuje v souladu s právem Evropských společenství odpovědnost a práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení. Zák mimo i jijiné é upravuje j odpovědnost d ěd t poskytovatele k t t l služeb l ž b ((providera) id ) za obsah b h Zákon informací poskytovaných na internetu. Provider nebude podle návrhu zákona odpovědný za obsah webových stránek, nebude mít tedy povinnost jejich obsah aktivně monitorovat. Pokud se však dozví o p protiprávní p p povaze obsahu stránek ((rozsudek soudu), bude mít povinnost stránky odstranit, respektive znepřístupnit. Zákon dále reguluje nevyžádanou elektronickou inzerci, spam, a povoluje pouze obchodní sdělení podle takzvaného systému opt-in opt in, tedy pouze s výslovným souhlasem adresáta. Nevyžádaná sdělení návrh zákona zakazuje. Smyslem této úpravy je posílit ochranu soukromí občanů. Za zasílání nevyžádaných obchodních sdělení, spamu, navrhuje zákon sankci ve výši až 10 000 000 Kč ukládanou Úřadem na ochranu osobních b í h úd údajů. jů Návrh též přesněji vymezuje problematiku informačních povinností při nákupu zboží přes internet. Dodavateli se například ukládá povinnost elektronicky potvrdit přijetí objednávky, nově se stanoví i pravidla možnosti odstoupení od smlouvy ze strany spotřebitele například v případě nedostatečných informací ze strany dodavatele. Management informační bezpečnosti
14
Další zákony (190/2009 Sb Sb.)) Geneze zákona o archivnictví: (odspoda nahoru) Zákon č. 167/2012 Sb., novela zákona č. 190/2009 Sb. Zákon č. 190/2009 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů ve znění pozdějších předpisů Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů ruší Zákon 343/1992 Sb., o archivnictví a další novely 27/2000 Sb., 120/2001 Sb., 107/2002 Sb. a 320/2002 Sb. mění a doplňuje Zákon č. 97/1974 Sb.,, o archivnictví Management informační bezpečnosti
15
Další zákony (227/2000 Sb Sb.)) Zákon č. 227/2000 Sb., o elektronickém podpisu Dne 15. dubna 2010 nabyla účinnosti novela zákona č. 227/2000 Sb., o elektronickém podpisu (č. 101/2010 Sb.). Elektronický podpis jsou elektronické identifikační údaje autora (odesílatele) elektronického dokumentu, připojené k němu. Zaručený elektronický podpis je elektronický podpis v takové formě, která, zpravidla kryptografickými metodami, metodami zaručuje i integritu dokumentu a autentizaci podepsaného podepsaného. Zaručený elektronický podpis dokumentu zajišťuje: autenticitu – lze ověřit původnost (identitu subjektu, kterému patří elektronický podpis), integritu – lze prokázat, že po podepsání nedošlo k žádné změně, soubor není úmyslně či neúmyslně poškozen, nepopiratelnost p p – autor nemůže tvrdit,, že podepsaný p p ý elektronický ý dokument nevytvořil y (např. ( p nemůže se zříct vytvoření a odeslání výhružného dopisu), může obsahovat časové razítko, které prokazuje datum a čas podepsání dokumentu.
Management informační bezpečnosti
16
Evropská unie - příklad Úřední věstník EU ze dne 18.11.2011 Prováděcí nařízení komise EU č. 1179/2011 - stanovení technické specifikace pro on line systémy sběru dat Doporučené normy ISO/IEC 27001 – s úplným hodnocením rizik ISO/IEC 27002 – stanovení opatření, zvládání incidentů ISO/IEC 27033 – bezpečnost počítačové sítě 2.1.7 – Bezpečnost infrastruktury – fyzická, sítí, OS a www, klienta 2.13.1 – DMZ a FW 2.13.5 – LAN – a. seznam přístupů na port zařízení L2 (switch) b. zablokování nepoužitých portů zařízení L2 (switch) c realizace DMZ ve VLAN c. d. zakázán trunking na volných portech zařízení L2
Management informační bezpečnosti
17
ISP – odpovědnost a kybernetická kriminalita
Management informační bezpečnosti
18
ISP Odpovědnost ISP dle platné legislativy - pojem ISP (vymezení dle zákona čč. 480/2004 Sb Sb., dělení dle typu poskytovaných služeb – hosting, caching, přenos dat) - pojem odpovědnosti z pohledu práva - odpovědnost ISP za obsah přenášených a ukládaných informací informací, koncepce „safe harbor“ - předpoklady, podmínky a limitace vzniku odpovědnosti ISP - filehostingové služby – boj autorských svazů proti těmto modelům podnikání, - žaloby na zákaz poskytování služeb, které mohou vést k porušování autorských práv - blokace webových stránek ze strany poskytovatelů připojení Praktické zkušenosti očima p poskytovatelů y služeb - odpovědnost za obsah poskytnutý uživateli a za obsah nelegálně získaný a umístěný na server poskytovatele - odpovědnost d ěd t za uveřejněné ř j ě é iinformace f Management informační bezpečnosti
19
Internetové služby Rozhodovací praxe soudů v oblasti internetových služeb - služby poskytující autorsky chráněný obsah v judikatuře - žaloby na blokaci webových stránek ze strany poskytovatelů připojení právo a jjurisdikce v p prostředí internetu ((řízení vztahů na internetu)) -rozhodné p
Kybernetické útoky a kybernetická trestná činnost - současné č é aspekty kt kkybernetické b ti ké kkriminality i i lit - pojem kybernetických útoků - postup orgánů činných v trestním řízení při odhalování kybernetické trestné činnosti
Management informační bezpečnosti
20
Univerzitní prostředí a ISMS
Management informační bezpečnosti
21
Univerzity a bezpečnostní politika -1 1 Správa osobních dat studentů materiály související s přijímacím řízením zdravotní stav studentů hodnocení jednotlivých studijních výsledků ročníkové a diplomové práce zaměstnávání studentů na technických místech Správa osobních dat zaměstnanců univerzity i t í dokumenty d k t interní správa software (licence, vlastní SW) autorská práva a ochranné známky ekonomická data To jsou dostatečné důvody pro vytvoření bezpečnostní politiky univerzity! Management informační bezpečnosti
22
Univerzity a bezpečnostní politika - 2 Objektová a přístupová bezpečnost studijní oddělení oddělení pro vědeckou činnost odbor (útvar) ICT sekretariáty ústavů Zahraniční oddělení
Cíl bezpečnostní b č t í politiky litik Cíle definování zásad managementu bezpečnosti způsob řízení definováním rolí s pravomocemi a zodpovědností pojmenování východisek pro hlavní zásady a řešení informační bezpečnosti působení na zvyšování bezpečnostního povědomí zaměstnanců a studentů Management informační bezpečnosti
23
Finanční požadavky na zavedení ISMS pro univerzitu
•Převzato Př t z příspěvku ří ě k „BEZPEČNOSTNÍ BEZPEČNOSTNÍ POLITIKA UNIVERSITY (SECURITY POLICY OF UNIVERSITY)“ autorů t ů Dagmar Brechlerové a Michala Moravce z České zemědělské univerzity, uveřejněno ve sborníku mezinárodní konference UNINFOS 2006 http://uninfos.ukf.sk/documents/zbornik_uninfos2006.pdf Univerzitné informačné systémy. Management informační bezpečnosti
24
