Informa n bezpe nos 11
This presentation is the property of its rightful owner.
Sponsored Links
1 / 16

INFORMAČNÁ BEZPEČNOSŤ 11 PowerPoint PPT Presentation


  • 118 Views
  • Uploaded on
  • Presentation posted in: General

INFORMAČNÁ BEZPEČNOSŤ 11. RNDr. Eva KOSTRECOVÁ, PhD. SÚLAD S LEGISLATÍVOU, ŠTANDARDAMI A NORMAMI. Obsah prednášky: Súlad so zákonnými požiadavkami Previerky bezpečnostnej politiky a zabezpečenie technického súladu Audit systému. ÚVOD.

Download Presentation

INFORMAČNÁ BEZPEČNOSŤ 11

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Informa n bezpe nos 11

INFORMAČNÁ BEZPEČNOSŤ 11

RNDr. Eva KOSTRECOVÁ, PhD.


S lad s legislat vou tandardami a normami

SÚLAD S LEGISLATÍVOU, ŠTANDARDAMI A NORMAMI

Obsah prednášky:

  • Súlad so zákonnými požiadavkami

  • Previerky bezpečnostnej politiky a zabezpečenie technického súladu

  • Audit systému


Informa n bezpe nos 11

ÚVOD

Návrh, implementácia, prevádzka a správa informačných systémov môže byť predmetom legislatívnych, regulačných a kontraktačných bezpečnostných požiadaviek. Preto je potrebné zabezpečiť súlad vnútorných technických predpisov, noriem, bezpečnostných a organizačných opatrení s technickými predpismi a normami Slovenskej republiky, ale aj európskymi a medzinárodnými technickými normami.


S lad s legislat vou slovenskej republiky

SÚLAD S LEGISLATÍVOU SLOVENSKEJ REPUBLIKY

Legislatíva SR sa neustále mení a preto je potrebné zabezpečiť sledovanie týchto zmien. Sledovanie legislatívnych zmien by malo byť v kompetencii právneho špecialistu v spolupráci s príslušnými odbornými útvarmi spoločnosti.

Zavedenie platnej legislatívy sa do predpisov a nariadení spoločnosti vykonáva:

  • zapracovaním legislatívnych požiadaviek do interných predpisov a nariadení spoločnosti,

  • úpravou technologických postupov,

  • úpravou obchodných a pracovných zmlúv,

  • úpravou pracovných činností,

  • prijatím organizačných a technických opatrení,

  • zavedením bezpečnostných opatrení.


S lad s legislat vou slovenskej republiky 2

SÚLAD S LEGISLATÍVOU SLOVENSKEJ REPUBLIKY /2

Okrem legislatívy, ktorá priamo súvisí s činnosťou spoločnosti je potrebné zohľadniť aj tú legislatívu, ktorá má všeobecnú účinnosť a vnútorné prostredie zabezpečiť tak, aby tejto legislatíve vyhovovali:

  • ochrana utajovaných skutočnosti a ochrana obchodného tajomstva,

  • ochrana zamestnanca, zamestnávateľa, práva a povinnosti v zmysle Zákonníka práce,

  • ochrana osobných údajov a výkon povinností prevádzkovateľa IS a ochrana ostatných údajov v IS,

  • dodržiavanie práv a povinností vyplývajúcich z autorského zákona, ochrana ostatného duševného a priemyselného vlastníctva,

  • bezpečnosť a ochrana zdravia pri práci,

  • ochrana životného prostredia.


S lad s legislat vou eur pskej nie

SÚLAD S LEGISLATÍVOUEURÓPSKEJ ÚNIE

Vzhľadom k vstupu Slovenskej republiky do Európskej únie a z toho vyplývajúcej aproximácii práva, je potrebné zabezpečiť súlad interných noriem a postupov v spoločnosti s legislatívou Európskej únie.

Sledovanie európskych a medzinárodných noriem a smerníc umožňuje:

  • včas reagovať a pripraviť sa na zmeny v legislatíve,

  • zamedziť problémom a sporom vznikajúcim na základe nesprávne uzatvorených obchodných a partnerských vzťahov,

  • vytvoriť relevantné prostredie medzinárodnej spoločnosti,

  • vytvoriť prostredie zodpovedajúce európskym a medzinárodným požiadavkám,

  • poskytovať služby zahraničným subjektom,

  • zabezpečiť práva medzinárodným používateľom,

  • byť konkurencieschopný na medzinárodnom a národnom trhu.


S lad technick ch a organiza n ch opatren

SÚLAD TECHNICKÝCH A ORGANIZAČNÝCH OPATRENÍ

Každá spoločnosť by mala zabezpečiť súlad vnútorných technických predpisov, noriem, bezpečnostných a organizačných opatrení s technickými predpismi a normami SR, ako aj európskymi a medzinárodnými technickými normami. V rámci tohto poslania by mala:

  • sledovať národné normy (Slovenský ústav technickej normalizácie - STN),

  • sledovať európske normy (European Committee for Electrotechnical Standardization - CENELEC),

  • sledovať medzinárodné normy (ISO a International Electrotechnical Commission - IEC),

  • zosúladiť terminológiu s medzinárodnými organizáciami,

  • oboznamovať zamestnancov s príslušnými technickými normami,

  • sledovať vydávanie technických predpisov,

  • zabezpečiť spracovanie technických predpisov v podmienkach spoločnosti.


S innos s org nmi t tnej spr vy

SÚČINNOSŤ S ORGÁNMI ŠTÁTNEJ SPRÁVY

V zmysle platnej legislatívy je každá spoločnosť povinná:

  • spolupracovať s Policajným zborom a inými orgánmi činnými v trestnom konaní pri odhaľovaní zlomyseľných volaní a šírení informácií a poplašných správ,

  • poskytovať potrebnú súčinnosť súdom, prokuratúre a inému orgánu štátu podľa osobitných predpisov a na základe písomnej žiadosti. V súlade s príslušnými predpismi im bezplatne poskytnúť informácie, ktoré sú predmetom ochrany osobných údajov, ak je poskytovanie týchto informácií alebo údajov nevyhnutné na plnenie konkrétnych úloh týchto orgánov podľa zákona. O poskytnutí informácií alebo inej súčinnosti sú zamestnanci prevádzkovateľa povinní zachovávať mlčanlivosť.


Ochrana autorsk ch pr v

OCHRANA AUTORSKÝCH PRÁV

Spoločnosť by mala zabezpečiť ochranu pred porušovaním:

  • autorských práv programátorov spoločnosti,

  • autorských právnakúpených systémov,

  • autorských právprogramov, ktoré vznikli v spoločnosti.

    Podľa autorského zákona 618/2003 Z. z. je počítačovým programom súbor príkazov a inštrukcií použitých priamo alebo nepriamo v počítači. Neoddeliteľnou súčasťou počítačového programu je aj podkladový materiál potrebný na jeho prípravu. Počítačový program je chránený ako literárne dielo. Ak bol program vytvorený v zahraničí, tak musia byť rešpektované legislatívne predpisy krajiny pôvodu a licenčná zmluva na program. Zamestnanci spoločnosti nesmú do softvéru vyvinutého treťou stranou vykonávať zmeny, ktoré by boli v rozpore s platnou legislatívou, prípadne licenčnou zmluvou.


Ochrana autorsk ch pr v 2

OCHRANA AUTORSKÝCH PRÁV /2

Program, ktorý bol vytvorený zamestnancom spoločnosti v pracovnoprávnom pomere, môže spoločnosť používať len v rozsahu nevyhnutnom pre svoje bežné aktivity. Autorom programu zostáva podľa platnej slovenskej legislatívy zamestnanec spoločnosti.

Autorské právo nie možné previesť na inú osobu alebo subjekt a nie je možné ho obmedziť. Za každé použitie diela má autor právo na odmenu.

Ak spoločnosti chcú používať dielo aj inak ako pre vlastnú potrebu, je potrebné podpísať s autorom (interným zamestnancom) autorskú zmluvu.

Porušenie autorského práva môže viesť k právnym krokom, vrátane trestných konaní. Trestné postihy sú však v každej krajine odlišné.


Softv rov licencie

SOFTVÉROVÉ LICENCIE

Na serveroch, pracovných staniciach a iných zariadeniach spoločnosti by mal byť nainštalovaný len schválený a legálny softvér. Všetky legálne softvérové produkty sú chránené autorským právom a dodávané používateľom na základe licenčnej zmluvy a licenčných podmienok. Softvérové licencie môžu byť udeľované na meno používateľa, ako concurrent používateľské licencie, licencie na počet procesorov, entreprise licencie a pod. K úlohám správcu softvéru by malo patriť aj sledovanie zmien jednotlivých používaných softvérových produktov a implementácia patchov - opráv chýb, vydaných autorom softvéru.

Neautorizovaná inštalácia softvéru a zmeny konfigurácie pracovných staníc by mali byť v každej spoločnosti prísne zakázané. Správcovia systémov, najmä koncových zariadení, by mali pravidelne vykonávať inventarizáciu softvéru, ktorý je nainštalovaný na zariadeniach spoločnosti. Na inventarizáciu softvéru sa môžu využívať aj automatizované prostriedky správy zdrojov.

V prípade, že sa zistí inštalácia nelegálneho softvéru, mala by byť takáto udalosť považovaná za bezpečnostný incident.


Ochrana priemyseln ho a du evn ho vlastn ctva

OCHRANA PRIEMYSELNÉHO A DUŠEVNÉHO VLASTNÍCTVA

Cieľom každej spoločnosti by malo byť zabezpečenie ochrany priemyselných práv a iného duševného vlastníctva spoločnosti v súlade so zákonom 527/1990 Zb. o vynálezoch, priemyselných vzoroch a zlepšovacích návrhoch a zákonom č. 478/1992 Zb. o úžitkových vzoroch.

Mali by existovať procedúry pre zabezpečenie nehmotného duševného vlastníctva a priemyselno-právnej ochrany, v ktorých by mal byť zapracovaný minimálne vzor zmluvy týkajúcej sa prijatia ponuky zlepšovacieho návrhu alebo vynálezu a postup vyplácania odmeny za tento návrh alebo vynález v súlade s ustanoveniami zákona 527/1990 Zb. a zmluvy s pôvodcom, upravujúcej právo spoločnosti na vynález.


Ochrana obchodn ho tajomstva

OCHRANA OBCHODNÉHO TAJOMSTVA

V spoločnosti je potrebné definovať povinnosti týkajúce sa zamedzenia porušenia a ohrozenia obchodného tajomstva. Tieto povinnosti musia byť odstupňované tak, aby nemohlo prísť k prezradeniu alebo sprístupneniu obchodného tajomstva v prospech tretej osoby alebo vo vlastný prospech. Povinnosť ochrany obchodného tajomstva sa musí týkať každého zamestnanca spoločnosti.

Skutočnosti, ktoré tvoria predmet obchodného tajomstva sú, podľa ustanovenia § 17 a 20 Obchodného zákonníka, informácie a údaje identifikovateľné, významné a utajované, ktorých ochrana musí byť v spoločnosti zodpovedajúcim spôsobom zaistená. Pod ochranu obchodného tajomstva sa zaraďujú aj predmety priemyselného vlastníctva a iného duševného vlastníctva.

Súčasťou ochrany obchodného tajomstva musí byť presné, menovité stanovenie údajov, informácií, predmetov a skutočností, ktoré tvoria obchodné tajomstvo.


Ochrana osobn ch dajov

OCHRANA OSOBNÝCH ÚDAJOV

V spoločnosti je potrebné vytvoriť procedúry, ktoré zabezpečia v súlade s požiadavkami legislatívy ochranu osobných údajov zamestnancov a klientov, ktoré sú spracúvané v spoločnosti.

Všetci zamestnanci spoločnosti musia byť prostredníctvom vzdelávacieho programu poučení o svojich povinnostiach vyplývajúcich z platnej legislatívy, najmä o zachovávaní mlčanlivosti o osobných údajoch, s ktorými prišli do styku a to aj po ukončení pracovného pomeru v spoločnosti alebo po definitívnom ukončení spracovania príslušnej aplikácie. Zodpovednosť používateľov za ochranu údajov, ku ktorým majú prístup, by mala byť zakotvená aj v ich pracovných zmluvách.

Každej dotknutej osobe - zamestnancovi alebo klientovi, ktorej údaje sa spracúvajú v spoločnosti, musí byť na požiadanie poskytnutá informácia o tom, aké osobné údaje sa o nej spracúvajú.


Ochrana osobn ch dajov 2

OCHRANA OSOBNÝCH ÚDAJOV /2

Dokumenty a formuláre obsahujúce položky osobných údajov, ktoré sú povinní zamestnanci alebo klienti vyplniť, musia byť vybavené textom v zmysle § 7 zákona č. 428/2002 Z. z., napríklad:

Na základe § 7 zákona 428/2002 Z. z. dávam svojím podpisom súhlas na to, aby osobné údaje uvedené mnou v tomto formulári boli ďalej spracované v informačnom systéme v súlade so zákonom 428/2002 Z. z. Súčasne beriem na vedomie, že podľa § 11 citovaného zákona zodpovedám za pravdivosť uvedených údajov.


Pou vanie zdrojov

POUŽÍVANIE ZDROJOV

Hmotné a nehmotné aktíva spoločnosti by mali byť využívané zamestnancami len pre zabezpečenie funkčnosti spoločnosti. Každý oprávnený zamestnanec by mal mať také prístupové práva k zdrojom spoločnosti, aby bol zabezpečený výkon jeho funkcie v súlade s pracovnou náplňou. Od zamestnanca by sa malo vyžadovať preukázanie identity pri vstupe do informačného systému vhodným bezpečnostným mechanizmom.

Využitie aktív spoločnosti zamestnancom na činnosti, ktoré nesúvisia s jeho pracovnými povinnosťami by malo byť zakázané a klasifikované ako bezpečnostný incident. V prípade dokázania, že zamestnanec porušil bezpečnostné opatrenia malo by byť voči nemu začaté disciplinárne konanie a v prípade podozrenia z trestného činu aj oznámenie konania príslušným útvarom polície.

Činnosť zamestnancov v systémoch by mala byť monitorovaná a auditovaná, aby mohlo byť identifikované neautorizované alebo nelegálne použitie zdrojov spoločnosti.


  • Login