zakonska regulativa informacijske sigurnosti l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Zakonska regulativa informacijske sigurnosti PowerPoint Presentation
Download Presentation
Zakonska regulativa informacijske sigurnosti

Loading in 2 Seconds...

play fullscreen
1 / 153

Zakonska regulativa informacijske sigurnosti - PowerPoint PPT Presentation


  • 664 Views
  • Uploaded on

Zakonska regulativa informacijske sigurnosti. Aco Dmitrović @hgi-cgs.hr. Vrijedi za sve organizacije. Zakon o elektroničkom potpisu (NN 10/02) Zakon o elektroničkoj ispravi (NN 150/05) Zakon o zaštiti osobnih podataka (NN 103/03)

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Zakonska regulativa informacijske sigurnosti' - Mercy


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
vrijedi za sve organizacije
Vrijedi za sve organizacije
  • Zakon o elektroničkom potpisu (NN 10/02)
  • Zakon o elektroničkoj ispravi (NN 150/05)
  • Zakon o zaštiti osobnih podataka

(NN 103/03)

    • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04)
  • Zakon o pravu na pristup informacijama (NN 172/03)
tdv i lokalne samouprave
TDV i lokalne samouprave
  • Zakon o sigurnosno-obavještajnom sustavu (NN 32/02)
  • Zakon o sigurnosnim službama (NN 32/02)
  • Zakon o tajnosti podataka (NN 79/07)
  • Zakon o informacijskoj sigurnosti (NN 79/07)
    • Uredba o mjerama informacijske sigurnosti (NN 46/08)
    • Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima (NN 72/07)
    • Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07)
    • Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08)
banke i kreditne organizacije
Banke i kreditne organizacije
  • Odluka o primjerenom upravljanju informacijskim sustavom (HNB, NN 80/07)
  • Smjernice za adekvatno upravljanje rizikom eksternalizacije (HNB listopad 2005.)
  • Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (HNB ožujak 2006.)
  • Smjernice za ovladavanje rizikom informacijskog sustava u kreditnim unijama (HNB studeni 2007)
ostale financijske institucije
Ostale financijske institucije
  • Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog pregleda i revizorskog izvješća društava za osiguranje (NN 76/06)
  • Pravilnik o uvjetima za obavljanje poslova ovlaštenog društva (NN 14/07)
  • Pravilnik kojim se uređuje poslovanje društva za upravljanje investicijskim fondovima (NN 25/07)
djelomi no
Djelomično…
  • Kazneni zakon (110/97)
  • Zakon o obveznim odnosima (NN 35/5)
  • Zakon o arhivskom gradivu i arhivima

(NN 105/97)

  • Zakon o zaštiti i spašavanju (NN 174/04)
  • Zakon o elektroničkoj trgovini (NN 173/03)
zakon o za titi i spa avanju
Zakon o zaštiti i spašavanju
  • NN 174/04 Čl. 18 Pravne osobe dužne su organizirati zaštitu i spašavanje od prijetnji i posljedica nesreća, većih nesreća i katastrofa i provoditi pripreme, poduzimati mjere pripravnosti i aktivnosti u katastrofama i otklanjanju posljedica te izvršavati druge obveze propisane ovim Zakonom, drugim propisima i svojim općim aktima
  • IT: Business Continuity Management
kazneni zakon
Kazneni zakon
  • NN 110/97, izmjene i dopune (NN: 27/98, 129/00, 51/01,105/04 i 84/05)
  • 2004. dodana kaznena djela cyber-kriminala
  • čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava
    • Odredbe Konvencije o kibernetičkom kriminalitetu o tajnosti, nepovredivosti i dostupnosti podataka spremljenih na računalima i samih računala
    • Kazneni progon se vrši po službenoj dužnosti
    • Za inform. sigurnost relevantničlanci 223 i 224
zakon o obveznim odnosima
Zakon o obveznim odnosima
  • NN 35/05Uređuje osnove obveznih odnosa (opći dio) te ugovorni i izvanugovorni obvezni odnosi (posebni dio)
  • Ne sadrži kazne
    • nepoštivanje dovodi do odgovornosti za štetu
    • neka ponašanja mogu predstavljati kazneno djelo (npr. prijevara)
  • Za informacijsku sigurnost relevantan čl. 293.
zakon o arhivskom gradivu i arhivima
Zakon o arhivskom gradivui arhivima
  • NN 105/97
  • Arhivsko je gradivo od interesa za Republiku Hrvatsku i ima njezinu osobitu zaštitu
  • Arhivsko i registraturno gradivo zaštićeno je bez obzira na to u čijem je vlasništvu ili posjedu, te je li registrirano ili evidentirano
slide12
Registraturno gradivo je cjelina zapisa nastalih djelovanjem pravne ili fizičke osobe
  • Arhivsko gradivo nastaje odabirom iz registraturnog gradiva
    • od trajnog značenja za kulturu, povijest i druge znanosti
  • Arhivi su ustanove za čuvanje, zaštitu, obradu i korištenje AG
  • Pismohrana je ustrojstvena jedinica u kojoj se čuva AG do predaje nadležnom arhivu
hrvatski dr avni arhiv
Hrvatski državni arhiv
  • Vodi registar arhivskih fondova i zbirki
  • Vodi upisnik svih arhiva i vlasnika arhivskog gradiva
  • S ostalim arhivama
    • Provodi mjere zaštite AG i brine za njegovu sigurnost
    • Obavlja stručni nadzor
    • Obavlja sigurnosno i zaštitno snimanje, restauratorske i konzervatorske poslove
slide15
Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta
  • Napredan elektronički potpis – pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4.
slide16
Čl. 4.

Napredan elektronički potpis:

  • je povezan isključivo s potpisnikom
  • nedvojbeno identificira potpisnika
  • nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika
  • sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka
slide17
Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata
  • Ne može se odbiti prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektroničkom obliku s elektroničkim potpisom
  • Iznimke: nekretnine, oporuke, (pred)bračni ugovori, darovanje imovine, nasljeđivanje…
certifikat
Certifikat
  • Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa
  • Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis
kvalificirani certifikat
Kvalificirani certifikat
  • oznaku o tome da se radi o kvalificiranom certifikatu,
  • identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba),
  • identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište).
  • podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika,
  • podatke o početku i kraju važenja certifikata,
  • identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja),
  • napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata,
  • ograničenja vezana za uporabu certifikata, ako ih ima,
  • ograničenja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.
ministarstvo gospodarstva
Ministarstvo gospodarstva
  • Vodi evidenciju o davateljima usluga certificiranja
  • Ministar gospodarstva pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispunjavanju uvjeta
  • Ne treba dozvola za obavljanje usluga certificiranja
  • Usluge certificiranja mogu obavljati samo registrirani/evidentirani davatelji usluga
uvjeti
Uvjeti
  • organizacija rada koja jamči kvalitetu
  • financijska i materijalna sredstva za trajnije izvođenje usluge certificiranja i pokrivanje šteta, osiguranje i sl.
  • Kvalificirano osoblje za tehničke poslove, vođenje registra i zaštitu osobnih podataka
  • tehničku i programsku osnovicu koja podržava međunarodne standarde
  • sustav fizičke zaštite uređaja, opreme i podataka
  • zaštitu od neovlaštenog pristupa i oštećenja informacija
uvjeti22
Uvjeti…
  • osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata
  • osiguranu provjeruidentiteta potpisnika
  • pouzdane mjere protiv krivotvorenja
  • osiguranje od rizika moguće štete
  • sustav pohrane
  • sigurnosni sustav
    • zaštita od neovlaštenog kopiranja, pristupa…
    • dostupnost samo za odobrenu svrhu
  • informiranje o točnim uvjetima korištenja
elektroni ka isprava
Elektronička isprava
  • jednoznačno povezan cjelovit skup podataka koji su
    • elektronički oblikovani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju
    • sadrži svojstva kojima se utvrđuje izvor (stvaratelj)
    • utvrđuje vjerodostojnost sadržaja
    • dokazuje postojanost sadržaja u vremenu
  • Sadržaj elektroničke isprave uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.
izvornik i kopije
Izvornik i kopije
  • Svaki pojedinačni primjerak elektroničke isprave koji je potpisan elektroničkim potpisom smatra se u smislu ovoga Zakona izvornikom
  • Elektronička isprava ne može imati elektroničku presliku (presliku u elektroničkom obliku)
  • Ako ista osoba izradi više isprava s istim sadržajem, u elektroničkom obliku i na papiru, te se isprave smatraju neovisnim
    • Isprava izrađena na papiru ne smatra se preslikom elektroničke isprave
preslika na papiru
Preslika na papiru
  • Izrađuje se ovjerom ispisa vanjskog obrasca prikaza elektroničke isprave na papiru uz primjenu postupaka predviđenih zakonom i drugim propisima
  • Ovjeru ispisa obavljaju
    • ovlaštene osobe u tijelima javne vlasti
    • javni bilježnik
  • Ispis na papiru mora sadržavati oznaku da se radi o preslici elektroničke isprave
uvanje elektroni kih isprava
Čuvanje elektroničkih isprava
  • u informacijskom sustavu ili na medijima koji omogućuju trajnost elektroničkog zapisa za utvrđeno vrijeme čuvanja i čine elektroničku arhivu
  • u čitljivom obliku za cijelo vrijeme čuvanja dostupne ovlaštenim osobama
  • čuvaju se podaci o elektroničkim potpisima
  • vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme, način i oblik u kojem je zaprimljena u sustav na čuvanje
  • pohranjene uz razumno jamstvo da ne mogu biti mijenjane i da se ne mogu neovlašteno brisati
  • postupci održavanja i zamjene medija za pohranu elektroničkih isprava ne narušavaju cjelovitost i nepovredivost elektroničkih isprava
podatak
Podatak
  • Dokument, odnosno svaki napisani, umnoženi, nacrtani, slikovni, tiskani, snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podatka, saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija, koja s obzirom na svoj sadržajima važnost povjerljivosti i cjelovitosti za svoga vlasnika
klasificirani podatak
Klasificirani podatak
  • Podatak koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen stupanj tajnosti
  • Podatak kojeg je Republici Hrvatskoj tako označenog predala druga država ili međunarodna organizacija
neklasificirani podatak
Neklasificirani podatak
  • Podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe
  • Podatak koji je Republici Hrvatskoj tako označenog predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje
klasifikacija
Klasifikacija
  • Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze
  • Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran
    • postaje neklasificirani s ograničenom uporabom samo u službene svrhe
slide33
Vlasnik podatka je nadležno tijelo u okviru čijeg djelovanja je klasificirani ili neklasificirani podatak nastao
  • Certifikat je uvjerenje o sigurnosnoj provjeri (osoblja) koje omogućava pristup klasificiranim podacima
zloporaba
Zloporaba
  • Klasificiranim podatkom ne može se proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim tijelima
zakon o za titi tajnosti podataka 1996
Propisuje vrste tajni

državna

službena

vojna

profesionalna

poslovna

i stupnjeve tajnosti

vrlo tajno

tajno

povjerljivo

Zakon o zaštiti tajnosti podataka (1996.)
zakon o tajnosti podataka 2007
Zakon o tajnosti podataka(2007.)
  • Za klasificirane podatke određuje samo stupnjeve tajnosti
    • Vrlo tajno
    • Tajno
    • Povjerljivo
    • Ograničeno
u i opseg
Uži opseg
  • Klasificirati se mogu podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva ukoliko su od sigurnosnog interesa za RH
  • Ne spominje se poslovna i profesionalna tajna
    • vrijede odredbe starog zakona
    • Ministarstvo pravosuđa treba prilagoditi zakone
l 6 vrlo tajno
Čl. 6. Vrlo tajno
  • Podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske, a osobito sljedećim vrijednostima:
    • temelji Ustavom utvrđenog ustrojstva RH
    • neovisnost, cjelovitost i sigurnost RH
    • međunarodni odnosi RH
    • obrambena sposobnost i sig-obavještajni sustav
    • sigurnost građana
    • osnove gospodarskog i financijskog sustava RH
    • znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH
ostali stupnjevi tajnosti
Ostali stupnjevi tajnosti
  • TAJNO
    • podaci čije bi neovlašteno otkrivanje teško naštetilo vrijednostima iz čl. 6.
  • POVJERLJIVO
    • podaci čije bi neovlašteno otkrivanje naštetilo vrijednostima iz čl. 6.
  • OGRANIČENO
    • podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju zadaća državnih tijela
postupak klasificiranja
Postupak klasificiranja
  • Obavlja se pri nastanku podataka
  • Prilikom periodične procjene
  • Vlasnik podatka dužan je odrediti najniži stupanj tajnosti koji osigurava zaštitu interesa
periodi na procjena
Periodična procjena
  • VRLO TAJNO najmanje jednom u 5 godina
  • TAJNO najmanje jednom u 4 godine
  • POVJERLJIVO najmanje jednom u 3 godine
  • OGRANIČENO najmanje jednom u 2 godine
  • O promjeni stupnja tajnosti ili o deklasifikaciji podatka vlasnik će pisanim putem izvijestiti sva tijela kojima je podatak bio dostavljen
interes javnosti
Interes javnosti
  • Vlasnik podatka dužan je ocijeniti razmjernost između prava na pristup informacijama i zaštite vrijednosti
  • Prije donošenja odluke vlasnik podatka je dužan zatražiti mišljenje Ureda Vijeća za nacionalnu sigurnost
pristup
Pristup
  • Pristup klasificiranim podacima
    • Osobe kojima je to nužno za obavljanje posla
    • Imaju izdano uvjerenje o obavljenoj sigurnosnoj provjeri (certifikat)
  • Organizacije podnose UVNS-u zahtjeve za izdavanje certifikata za zaposlenike, koji bi u okviru svog djelokruga trebali imati pravo pristupa klasificiranim podacima
trajanje certifikata
Trajanje certifikata
  • Certifikat se izdaje, ako ne postoje sigurnosne zapreke, na rok od pet godina za stupnjeve
    • Vrlo tajno
    • Tajno
    • Povjerljivo
opseg
Opseg
  • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima koje u svom djelokrugu koriste klasificirane i neklasificirane podatke
  • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima
izvan opsega
Izvan opsega
  • ZIS se ne primjenjuje na IS pravnih i fizičkih osoba koje ne dolaze u dodir s podacima od javnog značenja
    • Trgovačka društva, banke itd.
  • Kod njih je primjena pravila i dobre prakse koju ZIS propisuje dobrovoljna
me unarodna praksa
Međunarodna praksa
  • Upravljanje sigurnošću na razini države:
  • Središnje državno tijelo za IS
    • National Security Authority – NSA
  • Središnje tijelo za tehnička područja IS
    • National Communication Security Authority NCSA
    • ili InfoSec Authority - IA
slide49
RH
  • Ured Vijeća za nacionalnu sigurnost
    • UVNS - naš NSA
  • Zavod za sigurnost informacijskih sustava
    • ZSIS - naš NCSA, za tehnička pitanja
informacijska sigurnost
Informacijska sigurnost
  • Stanje povjerljivosti, cjelovitosti i raspoloživosti podataka
  • Postiže se primjenom propisa i standarda IS i organizacijskom podrškom
  • Mjere IS su pravila zaštite podataka na fizičkoj, tehničkoj i organizacijskoj razini
podru ja is
Područja IS
  • Provjere osoblja
  • Fizička sigurnost
  • Sigurnost podataka
  • Sigurnost informacijskih sustava
  • Sigurnost vanjske suradnje
    • industrijska sigurnost
akreditacija
Akreditacija
  • Sigurnosna akreditacija informacijskog sustava je postupak utvrđivanja osposobljenosti tijela i pravnih osoba za upravljanje sigurnošću informacijskih sustava
mjere i standardi
Mjere i standardi
  • informacijske sigurnosti propisati će se vladinom Uredbom
  • Standardi za provedbu mjera propisat će se pravilnicima koje donose čelnici središnjih državnih tijela za informacijsku sigurnost
slide54
UVNS
  • Donosi pravilnike o standardima za 5 područja IS
  • Koordinacija u primjeni mjera i donošenje standarda IS u tijelima javne vlasti
  • Primjena mjera i standarda IS u razmjeni klasificiranih podataka između RH i stranih zemalja i organizacija
  • Vršno tijelo za nacionalni normizacijski proces
nadle nost zsis a
Nadležnost ZSIS-a
  • Središnje državno tijelo za tehnička područja IS
    • Standardi sigurnosti IS
    • Sigurnosne akreditacije IS
    • Upravljanje kriptomaterijalima u razmjeni klasificiranih podataka
    • Koordinacija prevencije i odgovora na ugroze sigurnosti IS
nacionalni cert
Nacionalni CERT
  • Novo nacionalno tijelo za prevenciju i odgovor na računalne ugroze
  • Izrasta iz CARNetova CERT-a
  • Prevencija (sigurnosna upozorenja)
  • Postupanja u slučaju incidenta
provedba
Provedba
  • Obveza provođenja propisanih standarda IS temeljem pravilnika koje donose UVNS i ZSIS
  • U tijelima javne vlasti koji nemaju IT službe, nadležan je SDUeH koji koristi usluge tijela za potporu IT sustava
  • U okviru obrazovnog i akademskog sektora nadležno je MZOŠ koje koristi uslugeCARNeta i Srca
nadzor
Nadzor
  • Nadzor organizacije, provedbe, stanja i učinkovitosti propisanih mjera i standarda
  • Nadzor provode savjetnici za informacijsku sigurnost
  • UVNS će propisati kriterije za ustrojavanje radnih mjesta
prate i pravilnici
Prateći pravilnici
  • Zakon zadaje rokove za donošenje pravilnika koji će konkretizirati zahtjeve i propisati mjere i standarde informacijske sigurnosti
slide61
Čl. 1.
  • Uredbom se utvrđuju mjere informacijske sigurnosti za postupanje s klasificiranim i neklasificiranim podacima.
  • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave, te na pravne osobe s javnim ovlastima
  • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima
l 2 definicije
Čl. 2. - Definicije
  • Klasificirani ugovor – kojim se razmjenjuju klasificirani podaci
  • Kriptomaterijali – kriptografski proizvodi i podaci, programska rješenja ili uređaji za zaštitu podataka, tehnička dokumentacija, ključevi
  • Opća razina zaštite – skup mjera i standarda propisan za stupnjeve tajnosti
akreditacija63
Akreditacija
  • Sigurnosna akreditacija sustava registrara – utvrđivanje da li su primijenjene mjere i standardi IS propisane za
    • Organizaciju rada
    • Osoblje
    • Prostor
    • Informacijske sustave
    • Klasificirane podatke
slide64
Ugroza (prijetnja) – potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili informacijskom sustavu
  • Upravljanje rizikom IS – sustavan pristup koji uključuje planiranje, organiziranje i usmjeravanje aktivnosti, da bi rizici za klasificirane podatke ostali u utvrđenim i prihvatljivim okvirima
pristup klasificiranim podacima
Pristup klasificiranim podacima
  • Vrlo tajno, Tajno i Povjerljivo
    • osoba koja je certificirana
  • Ograničeno
    • osoba upoznata s načinom postupanja s klasificiranim podacima
    • nužno za obavljanje posla
    • temeljem ovlasti čelnika
razmjena
Razmjena
  • Klasificiran podatak može se dostavljati drugim tijelima i pravnim osobama samo uz prethodnu suglasnost vlasnika podatka
  • Samo s državama i međunarodnim org. koje su potpisale ugovor o uzajamnoj zaštiti kl.pod.
  • Iznimno unutar međunarodne suradnje koja uključuje razmjenu klasificiranih podataka
  • Evidenciju ugovora vodi UVNS
neklasificirano
Neklasificirano
  • Bez oznake
    • nema ograničenja uporabe i pristupa
    • javni podaci (cjelovitost i dostupnost)
  • Oznaka neklasificirano
    • samo u službene svrhe
    • dostupan samo fizičkim osobama, tijelima i pravnim osobama koje imaju potrebu korištenja radi obavljanja posla
  • non-classified, unclassified
mjere za tite
Mjere zaštite
  • Za zaštitu neklasificiranih podataka
    • ISO 27001
    • ISO 17799 -> 27002
  • Za oznaku Ograničeno
    • Isto, uz dodatne mjere
  • Savjetnik za informacijsku sigurnost redovito provjerava usklađenost informacijskog sustava s propisanim normama, mjerama i standardima IS
ujedna enost za tite
Ujednačenost zaštite
  • Tijela i pravne osobe koje postupaju s klasificiranim i neklasificiranim podacima primjenjuju propisane mjere informacijske sigurnosti radi osiguravanja ujednačene razine zaštite
mjere is
Mjere IS
  • Za područja IS
    • Sigurnosna provjera
    • Fizička sigurnost
    • Sigurnost podataka
    • Sigurnost informacijskog sustava
    • Sigurnost poslovne suradnje
sigurnosna provjera
Sigurnosna provjera
  • Popis dužnosti i poslova za koje je potrebno uvjerenje o sigurnosnoj provjeri
  • Postupak za izdavanje certifikata
  • Upitnik za sigurnosnu provjeru
  • Pisana suglasnost osobe koju se provjerava
  • Izdavanje certifikata
  • Sigurnosno informiranje
  • Nacionalni registar izdanih, odbijenih certifikata, potpisanih izjava
  • Registar zaprimljenih certifikata i potpisanih izjava o postupanju s klasificiranim podacima
slide72
Sve osobe koje imaju pristup klasificiranim podacima dužne su najmanje jednom godišnje pristupati sigurnosnom informiranju o propisanim mjerama i standardima IS
  • Potpisati izjavu o postupanju s klasificiranim podacima
sigurnosno informiranje
Sigurnosno informiranje
  • UVNS za pristup stupnjevima Vrlo tajno, Tajno i Povjerljivo
  • Ograničeno
    • Savjetnici za informacijsku sigurnost
    • Ili drugi sigurnosni koordinatori koje tijela ili pravne osobe odrede
fizi ka sigurnost
Fizička sigurnost
  • Lokacije u kojima se čuvaju ili obrađuju klasificirani podaci štite se mjerama fizičke sigurnosti
  • Radi:
    • Sprečavanja neovlaštenog ulaska
    • Sprečavanja zloporaba zaposlenika
    • Razdvajanja zaposlenika prema ovlastima
    • Otkrivanja sigurnosnih ugroza i reakcija
mjere fizi ke sigurnosti
Mjere fizičke sigurnosti
  • višestruka zaštita
  • sigurnosne zone
  • administrativne zone
  • plan fizičke sigurnosti
  • procjena učinkovitosti mjera fizičke sigurnosti
  • kontrola osoba
  • pohrana klasificiranih i neklasificiranih podataka
  • tehnički sigurni prostori
  • fizička sigurnost informacijskih sustava
  • oprema za fizičku zaštitu klasificiranih podataka
sigurnosne zone
Sigurnosne zone
  • Prostori u kojima se čuvaju klasificirani podaci stupnjeva Vrlo tajno, Tajno i Povjerljivo ustrojavaju se kao sigurnosna zona I ili II
  • Zona I je jasno označen i zaštićen prostor s kontrolom pristupa samo osobama koje imaju certifikat i ovlaštenje
  • Zona II – pristup dozvoljen uz pratnju i nadzor kada postoji opravdan razlog
administrativne zone
Administrativne zone
  • Klasificirani podaci oznake Ograničeno i Neklasificirano
  • Vidljivo označen prostor s kontrolom pristupa osoba i vozila
slide78
  • Plan fizičke sigurnosti
  • Procjena učinkovitosti mjera fizičke sigurnosti
  • Kontrola osoba
  • Fizička sigurnost informacijskih sustava
    • Unutar sigurnih zona
pohrana
Pohrana
  • Pohrana klasificiranih podataka u sigurnim zonama
  • Vrlo tajno
    • Sigurnosni spremnik s detekcijom neovlaštenog pristupa
    • Stalna zaštita uz periodični nadzor
  • Tajno
    • Sigurnosni spremnik ili prostor za otvorenu pohranu uz stalnu zaštitu
  • Povjerljivo – sigurnosni spremnik
  • Ograničeno i neklasificirano – zaključano u uredskom namještaju
sigurnost podataka
Sigurnost podataka
  • Mjere
    • Klasificiranje i deklasificiranje
    • Označavanje podataka
    • Pristup podacima
    • Zaštita podataka
    • Sustav registrara
    • Evidencija korištenja
    • Postupanje u izvanrednim situacijama
    • Ustupanje klasificiranih podataka
sigurnost informacijskih sustava
Sigurnost informacijskih sustava
  • Mjere
    • Mjere zaštite informacijskog sustava
    • Upravljanje sviješću o sigurnosti
    • Planiranje djelovanja u izvanrednim okolnostima
slide82
Mjere zaštite informacijskog sustava
    • Zaštita hardvera, softvera i medija
    • Upravljanje konfiguracijom i sustavom korisničkog pristupa
    • Kontrola povezivanja i uporabe IS
    • Zaštita od rizika elektromagnetskog zračenja
    • Primjena kriptografske zaštite
sigurnost poslovne suradnje
Sigurnost poslovne suradnje
  • Mjere
    • Sklapanje klasificiranih ugovora
    • Razmatranje sigurnosnih aspekata u svim fazama životnog ciklusa IS
    • Definiranje odgovornosti za provedbu svake od mjera
    • Redovita kontrola provedbe
certifikat poslovne sigurnosti
Certifikat poslovne sigurnosti
  • Pravne osobe koje sudjeluju u međunarodnim klasificiranim ugovorima podnose UVNS-u zahtjev iz izdavanje certifikata
  • Ugovor UVNS-a i pravne osobe
  • Sigurnosna provjera pravne osobe
    • Provjera strukture vlasništva
    • Provjera osoblja koje će pristupati kl. pod.
    • Provjera savjetnika za informacijsku sigurnost
upravljanje rizikom
Upravljanje rizikom
  • Procjena rizika
    • popis prijetnji
    • prioriteti prijetnji
  • Obrada rizika
    • prihvaćanje rizika
    • smanjivanje rizika primjenom kontrola
    • prebacivanje rizika na treću stranu
nadzor86
Nadzor
  • Nadzor mjera i standarda IS
  • U tijelima i pravnim osobama koje koriste
    • klasificirane i neklasificirane podatke
      • savjetnici za informacijsku sigurnost
    • klasificirane podatke
      • UVNS
        • vrlo tajno, tajno, povjerljivo - najmanje jednom u 2 god.
        • ograničeno - najmanje jednom u 4 god.
za tita privatnosti gra ana
Zaštita privatnosti građana
  • Relativno nova civilizacijska i pravna stečevina
  • Filozofske teze
    • Na pr. Sokratov daimon
  • Pravno izvorište kodificirano međunarodnim konvencijama
slide90

Opća konvencija Ujedinjenih naroda o ljudskim pravima (1948.).

  • “Nitko ne smije biti izvrgnut samovoljnom miješanju u njegov/njezin privatni život, obitelj, dom i prepisku, niti napadima na njegovu/njezinu čast i ugled.”
  • Evropska konvencija o ljudskim pravima (1950.).
aspekti privatnosti
Aspekti privatnosti
  • Tjelesna privatnost
  • Prostorna privatnost
  • Informacijska privatnost
  • Komunikacijska privatnost
  • Medijska privatnost
doma i pravni izvori
Domaći pravni izvori
  • Ustav Republike Hrvatske
    • Čl. 23. - fizička zaštita pojedinca
    • Čl. 34. - nedopušteno miješanje u obiteljsko i drugo okruženje
    • Čl. 37. - tajnost i zaštita osobnih podataka
kazneni zakon93
Kazneni zakon
  • Čl. 130. - povreda tajnosti pisama i drugih pošiljaka
  • Čl. 131. - neovlašteno snimanje i prisluškivanje
  • Čl. 132. - neovlašteno otkrivanje profesionalne tajne
  • Čl. 133. - nedozvoljena uporaba osobnih podataka
kazneni zakon94
Kazneni zakon
  • Čl. 130. - povreda tajnosti pisama i drugih pošiljaka
  • Čl. 131. - neovlašteno snimanje i prisluškivanje
  • Čl. 132. - neovlašteno otkrivanje profesionalne tajne
  • Čl. 133. - nedozvoljena uporaba osobnih podataka
drugi propisi
Drugi propisi
  • Reguliraju dodirna područja:
  • Zakon o radu
  • Zakon odgovornosti pravnih osoba za kaznena djela
  • Zakon o telekomunikacijama
  • Zakon o elektroničkoj trgovini
  • Zakon o zaštiti potrošača
  • Zakon o pravu na pristup informacijama
  • Zakon o potvrđivanju Konvencije o kibernetičkom kriminalu
  • EU Directive on Privacy and Electronic Communications (E- Privacy Directive 2002) i t.d.
zakon o za titi osobnih podataka
Zakon o zaštiti osobnih podataka
  • Uređuje se zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj
osobni podatak
Osobni podatak
  • Svaki podatak koji se odnosi na identificiranu fizičku osobu ili fizičku osobu (ispitanik) koja se može identificirati
  • Identitet se može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
obrada osobnih podataka
Obrada osobnih podataka
  • Svaka radnja izvršena na osobnim podacima, bilo automatskim sredstvima ili ne, prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih ili drugih operacija s tim podacima
zbirka osobnih podataka
Zbirka osobnih podataka
  • Svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi temeljem drugih tehničkih pomagala ili ručno
voditelj zbirke osobnih podataka
Voditelj zbirke osobnih podataka
  • Fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu ili način obrade osobnih podataka
  • Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka
izvr itelj obrade
Izvršitelj obrade
  • Voditelj zbirke može u svezi s obradom ugovorom pojedine poslove iz svog djelokruga povjeriti drugoj fizičkoj ili pravnoj osobi – izvršitelju obrade
korisnik
Korisnik
  • jefizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci mogu dati na korištenje radi obavljanja redovitih poslova u okviru njegove zakonom utvrđene djelatnosti
privola ispitanika
Privola ispitanika
  • Slobodno dano i izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih podataka u određene svrhe
prikupljanje
Prikupljanje
  • Osobni podaci smiju su prikupljati samo
    • uz privolu ispitanika
    • u slučajevima predviđenim zakonom
  • Mogu se prikupljati jedino u svrhu s kojom je ispitanik upoznat i koja je izričito navedena
  • Osobni podaci moraju biti bitni za postizanje određene svrhe i ne smiju se prikupljati u opsegu većem nego što je nužno
obrada
Obrada…
  • Osobni podaci moraju biti točni, potpuni, ažurni
  • Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je potrebno za svrhu za koju su prikupljani
  • Smiju se obrađivati samo u svrhu za koju je ispitanik dao privolu
  • Voditelj zbirke podataka smije obrađivati osobne podatke samo uz uvjete utvrđene Zakonom o zaštiti osobnih podataka i za to odgovara
obrada106
Obrada…
  • Ispitanik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade
  • Ispitanik ima pravo usprotiviti se obradi osobnih podataka u svrhe marketinga
  • Osobni podaci se bez privole ispitanika smiju obrađivati za potrebe povijesne, statističke ili znanstvene svrhe, ako su prije toga depersonalizirani
posebne kategorije osobnih podataka
Posebne kategorije osobnih podataka

Zabranjeno je prikupljanje i daljnja obrada podataka koji se odnose na:

  • rasno ili etičko podrijetlo
  • politička stajališta
  • vjerska ili druga uvjerenja
  • sindikalno članstvo
  • zdravlje ili spolni život
  • kazneni ili prekršajni postupak
iznimka
Iznimka
  • Zabrana se ne odnosi na obrade u okviru ustanove, udruženja ili drugog neprofitnog tijela s političkom, vjerskom ili drugom svrhom pod uvjetom da se obrada odnosi isključivo na njihove članove te da podaci ne budu otkriveni trećoj strani bez prethodnog pristanka ispitanika
za tita ispitanika
Zaštita ispitanika
  • Voditelj obrade dužan je u roku od 30 dana na zahtjev ispitanika:
  • Dostaviti potvrdu da li se osobni podaci ispitanika obrađuju ili ne
  • Obavijestiti u razumljivom obliku o podacima čija je obrada u tijeku i o izvoru tih podataka
  • Omogućiti uvid u evidenciju zbirke osobnih podataka i uvid u osobne podatke
prava ispitanika
Prava ispitanika…
  • Dostaviti izvatke, potvrde ili ispise osobnih podataka (ispitanika) s naznakom svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka
  • Dostaviti ispis podataka o tome tko je i za koje svrhe i po kojoj pravnoj osnovi dobio na korištenje podatke (ispitanika)
  • Dati obavijest o logici automatske obrade podataka (ispitanika)
prava ispitatnika
Prava ispitatnika…
  • Na zahtjev ispitanika ili ako sam uoči da su podaci nepotpuni, netočni ili neažurni Voditelj obrade dužan je dopuniti, izmijeniti ili brisati nepotpune, netočne ili neažurne podatke
  • O izvršenoj dopuni, izmjeni ili brisanju nepotpunih, netočnih ili neažurnih podataka Voditelj obrade dužan je u roku od 30 dana izvijestiti osobu na koju se podaci odnose
  • Unaprijed obavijestiti ispitanika o namjeravanoj obradi osobnih podataka u svrhe marketinga
kaznene odredbe
Kaznene odredbe
  • Novčanom kaznom od 20.000,00 do 40.000,00 kn kaznit će se:
    • Izvršitelj obrade koji prekorači granice svojih ovlasti
    • Voditelj zbirke koji ne uspostavi evidenciju
    • Voditelj zbirke koji ne osigura zaštitu
    • Voditelj zbirke koji onemogući Agenciju u nadzoru
slide113
UREDBA

o načinu pohranjivanjai posebnim mjeramatehničkezaštite posebnih kategorija osobnih podataka

NN 139/04

definicije
Definicije
  • Sustav za vođenje zbirke osobnih podataka sastoji se od
    • računalne
    • telekomunikacijske
    • upravljačke i programske opreme
    • osobnih podataka
ra unala
Računala
  • Računalo za vođenje zbirke- ugrađena upravljačka i programska oprema sustava za vođenje zbirke osobnih podataka
  • Središnje računalo zbirke- ugrađena upravljačka i programska oprema za obradu i pohranu zbirke osobnih podataka
  • Razvojno računalo- upravljačka i programska oprema u razvitku, oprema koja se provjerava, te jednaka opremi ugrađenoj u računala za vođenje zbirke
    • Razvoj i testiranje
admini
Admini
  • Administrator zbirkebrine o sustavuza upravljanje zbirkama osobnih podataka i o svim vidovima osiguranja i pohranjivanja podataka
  • Administrator mrežnog sustavabrine o TK opremi, pristupnim putevima, mreži, modemskim i drugim vezama između računalnih sustava
  • Administrator upravljačkog sustavaosoba ovlaštena brinuti o ugradnji i ispravnom radu upravljačkog sustava
slide117
UPS
  • Uređaj za neprekidno napajanje omogućava nastavak rada nakon nestankael. energije, tako da se poslovi u tijeku mogu završiti bez opasnosti za cjelovitost informacija
backup restore
Backup & Restore
  • Pohranjivanje podataka je postupak pohranjivanja sigurnosnog primjerka podataka za slučaj gubitka, oštećenja ili uništenja podataka
  • Povrat pohranjenih podataka je postupak vraćanja podataka u prethodno stanje sa sigurnosnog primjerka
    • vraćeni podaci moraju biti u posljednjem sukladnom stanju i bez gubitka informacija
oporavak sustava
Oporavak sustava
  • Obnavljanje rada računalnog sustava je skup postupaka za povratak računalnog sustava i svih započetih poslova u posljednje sukladno stanje tog sustava.
  • Ponovno uključivanje sustava u rad je skup postupaka za uključivanje računalnog sustava u rad nakon neuobičajenog prekida rada tog sustava.
modemski ulazi
Modemski ulazi
  • Modemski priključci za pristup sustavu ne objavljuju se u telefonskim imenicima i nesmiju biti dostupni preko službe za davanje telefonskih brojeva.
projekt
Projekt
  • Smještanje, postavljanje i ugradnja računala i računalne mreže postavlja i ugrađuje stručna osoba uz odobrenje voditelja zbirke, u skladu s važećim normama, standardima i tehničkim uputama, prema projektu
projektna dokumentacija
Projektna dokumentacija
  • Po jedan primjerak projektne dokumentacije čuva se u radnim prostorijama
    • voditelja zbirke osobnih podataka
    • izvršitelja obrade(ukoliko postoji)
    • dostavlja na uvid Agenciji za zaštitu osobnih podataka
za tite
Zaštite
  • Računalo za vođenje zbirki i središnje računalo mora biti opremljeno:
    • mehanizmom za sigurnosno prijavljivanje za rad s mogućnošću pohrane podataka o prijavljivanju
    • mehanizmom za sprečavanje neovlaštenog iznosa i unosa podataka uporabom prijenosnih medija, komunikacijskih priključaka i priključaka za ispis podataka
za tite124
Zaštite
  • Mehanizmom zaštite od računalnih virusa i drugih štetnih programa
  • Mehanizmom kriptološkog osiguranjapodataka na prijenosnim medijima i u toku prijenosa podataka informatičkim i telekomunikacijskim sustavima
pristup opremi
Pristup opremi
  • Računalna i telekomunikacijska oprema postavlja se i ugrađuje u posebno zaštićene prostorije određene projektom
  • Smiju ulaziti samo ovlaštene osobe
  • Voditelj zbirke ili izvršitelj obrade uz suglasnost voditelja određuje ovlaštene osobe
fizi ka sigurnost126
Fizička sigurnost
  • Prostorije s opremom moraju biti opremljene sustavom video nadzorai elektroničkim dvostranim sustavom za kontrolu prolaza
pristup podacima
Pristup podacima
  • Pristup podacima dozvoljen je ovlaštenim zaposlenicima i ovlaštenim osobama zaduženim za održavanje i razvitak sustava (u daljnjem tekstu: ovlašteni stručnjaci)
  • Ovlaštenja dodjeljuje voditelj zbirke, ne voditelj obrade
slide128
ID
  • Pristup podacima dozvoljen je uporabom dodijeljenoga jedinstvenog korisničkog imena i propusnice
  • Ukinuto korisničko ime ne smije se dodijeliti drugoj osobi
  • Korisničko ime i pripadna propusnica ne smiju se odati i dati na uporabu drugoj osobi
slide129
IDS
  • Svaki pokušaj neovlaštenog pristupa sustavu mora biti automatski zabilježen korisničkim imenom, nadnevkom i vremenom, a ako je moguće i mjestom s kojeg je pristup pokušan
  • Izvršitelj obrade, administratori mreže, računala i zbirke,dužni su obavijestiti čelnika voditelja zbirkeOP o svakom pokušaju neovlaštenog pristupa sustavu
za tita od po ara
Zaštita od požara
  • Oprema mora biti smještena u prostorijama koje imaju uređaje za otkrivanje požara i automatsku dojavu
  • Moraju imati uređaje za automatsko gašenje požara
  • Na lako uočljivim mjestima moraju biti izvješene upute o postupcima u slučaju izbijanja požara
zra enja
Zračenja
  • U blizini računalne i telekomunikacijske opreme ne smije biti izvora
    • jakog električnog ili magnetskog polja
    • ionizirajućeg zračenja
    • elektrostatičkog elektriciteta
klima
Klima
  • Mora se održavati
    • relativna vlažnost zraka 20 - 80%
    • temperatura između 5 i 30°C
opasne tvari
Opasne tvari
  • U prostorijama s opremom i u blizini ne smiju se nalaziti nagrizajuće i lakohlapljive tekućine, eksplozivna sredstva i slične opasne ili štetne tvari
pra ina
Prašina
  • Odstraniti uređaje koji u zrak ispuštaju čestice prašine
  • Osjetljivi uređaji koji se hlade zrakom, moraju imati filtere za zrak
  • Uređaji za koje je to dopušteno tehničkim uputama moraju se pokrivati zaštitnim pokrovima kada nisu u uporabi
rezervni polo aj
Rezervni položaj
  • U slučaju potresa i drugih elementarnih nepogoda, rata i neposredne ratne opasnosti voditelj zbirke dužan je odrediti premještanje računalno-komunikacijske opreme na predviđeno sigurno mjesto
backup
Backup
  • Voditelj zbirke je dužan pohranjivati podatke na prenosive medije uporabom metoda koje jamče sigurnost i tajnost tako pohranjenih osobnih podataka
  • Za provedbu mjera pohranjivanja podataka odgovaraju administratori zbirkiOP
pohrana137
Pohrana
  • Podaci se pohranjuju dnevno, tjedno, mjesečno i godišnje
  • dnevnibackup sprema se u sef u radnoj prostoriji voditelja zbirke
  • tjednibackup sprema se na sigurno mjesto udaljeno najmanje 20 km
  • mjesečni i godišnji- najmanje50 km
backup lokacija
Backup lokacija
  • Mjesto spremanja podataka na prenosivim medijima mora biti osigurano od elementarnih nepogoda
  • Prenosivi mediji moraju biti spremljeni u vodootporni i vatrootporni sef
  • Za prenošenje medija koriste se vodootporni i vatrootporni kovčezi zaštićeni šifrom
provjere
Provjere
  • Godišnja kopija zbirke provjerava se najmanje jednom godišnje uz provjeru postupka povrata zbirki
  • Mediji se moraju obnoviti nakon isteka polovice zajamčenog roka trajanja zapisa na toj vrsti medija.
  • Uporabljivost mjesečne kopije provjerava se najmanje svakih šest mjeseci
  • Za provedbu mjera osiguranja, pohranjivanja i zaštite osobnih podataka odgovara administrator zbirki osobnih podataka
ovla tenja
Ovlaštenja
  • Voditelj zbirke određuje
    • osobe ovlaštene za iznošenje podataka na prenosivim medijima i njihovo vraćanje
    • osobe ovlaštene za dodjeljivanje i uklanjanje korisničkih imenai propusnica
potpis
Potpis
  • Voditelj zbirke ustrojava sustav kriptološkog osiguranja podataka u prijenosu
  • Podaci moraju biti kriptološki osigurani i ovjereni uporabom elektroničkog potpisa koji primatelju omogućuje provjeru izvornosti primljenog izvatka
provjera potpisa
Provjera potpisa
  • Primatelji izvatka iz zbirki posebnih kategorija osobnih podataka dužni su prilikom primitka izvatka provjeriti izvornost uporabom javnog ključa pošiljatelja.
  • O primljenim izvacima bez potvrde izvornosti primatelj je dužan bez odgode obavijestiti voditelja zbirki osobnih podataka
provjere143
Provjere
  • Voditelj zbirke osobnih podataka tjedno, mjesečno i godišnje provjerava rad svih dijelova sustava
  • Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava određuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka u skladu s međunarodnim preporukama (ISO 17799)
odr avanje
Održavanje
  • Računalnu, telekomunikacijsku i programsku opremu održavaosoba određena ugovorom o nabavi opreme ili drugim odgovarajućim ugovorom -ovlašteni stručnjak
sredi nji registar
Središnji registar
  • Aplikacija središnjeg registra evidencija zbirki osobnih podataka mjesto je na koje voditelji zbirki trebaju prijaviti svoje zbirke osobnih podataka i opisati ih prema zadanim pravilima
  • http://registar.azop.hr/
opis zbirke
Opis zbirke
  • Parametri koji opisuju zbirku osobnih podataka:
  • Opći podaci o zbirci
  • Prava ispitanika
  • Podaci o svakom atributu
op i podaci
Opći podaci
  • naziv zbirke, status, način obrade, datum uspostave, voditelj, izvršitelji obrade, svrha obrade, čime je određena svrha obrade, pravni temelj uspostave zbirke, način dobivanja privole ispitanika, inozemni korisnici, mjere zaštite podataka
prava ispitanika148
Prava ispitanika
  • kontakt osoba, u kojem obliku zahtjev mora biti predan, administrativni preduvjeti koji olakšavaju obradu zahtjeva, plaćanje naknade, zakon kojim je propisano plaćanje naknade
koraci
Koraci
  • Imenovanje osobe koja će upisivati i ažurirati podatke o zbirkama osobnih podataka u aplikaciji Središnjeg registra
  • Alias osobni-podaci@domena.hr

(dekan, kadrovik, AZOP-admin…)

dopune
Dopune
  • Nisu obvezni u Središnji registar dostaviti evidencije koje vode na temelju propisa iz područja radnog prava
    • Voditelji zbirki OP koji zapošljavaju do 5 zaposlenika
    • Oni koji su imenovali službenika za zaštitu osobnih podataka i o tome izvijestili AZOP
  • Odvajanje upravljačke i nadzorne funkcije
nadzor za tite
Nadzor zaštite
  • Nadzor nad provedbom odredbi ove Uredbe obavlja Agencija za zaštitu osobnih podataka.
  • http://www.azop.hr
rokovi
Rokovi
  • Uredba stupila na snagu 8.10.2004.
  • Voditelji zbirki OP i izvršitelji obrade dužni su u roku od šest mjeseci od dana stupanja na snagu uskladiti mjere, sredstva i uvjete osiguranja, pohranjivanja i zaštite podataka s odredbama Uredbe
  • Rok je prošao 8.4.2005.
za daljnje itanje
Za daljnje čitanje
  • Smjernice HNB za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika
    • ožujak 2006.
  • Odluka HNB o primjerenom upravljanju informacijskim sustavom
    • 17.7.2007
  • ISO 27001, ISO 27002 (17799)