1 / 153

Zakonska regulativa informacijske sigurnosti

Zakonska regulativa informacijske sigurnosti. Aco Dmitrović @hgi-cgs.hr. Vrijedi za sve organizacije. Zakon o elektroničkom potpisu (NN 10/02) Zakon o elektroničkoj ispravi (NN 150/05) Zakon o zaštiti osobnih podataka (NN 103/03)

Mercy
Download Presentation

Zakonska regulativa informacijske sigurnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zakonska regulativa informacijske sigurnosti Aco Dmitrović @hgi-cgs.hr

  2. Vrijedi za sve organizacije • Zakon o elektroničkom potpisu (NN 10/02) • Zakon o elektroničkoj ispravi (NN 150/05) • Zakon o zaštiti osobnih podataka (NN 103/03) • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) • Zakon o pravu na pristup informacijama (NN 172/03)

  3. TDV i lokalne samouprave • Zakon o sigurnosno-obavještajnom sustavu (NN 32/02) • Zakon o sigurnosnim službama (NN 32/02) • Zakon o tajnosti podataka (NN 79/07) • Zakon o informacijskoj sigurnosti (NN 79/07) • Uredba o mjerama informacijske sigurnosti (NN 46/08) • Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima (NN 72/07) • Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (NN 102/07) • Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost (NN 100/08)

  4. Banke i kreditne organizacije • Odluka o primjerenom upravljanju informacijskim sustavom (HNB, NN 80/07) • Smjernice za adekvatno upravljanje rizikom eksternalizacije (HNB listopad 2005.) • Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (HNB ožujak 2006.) • Smjernice za ovladavanje rizikom informacijskog sustava u kreditnim unijama (HNB studeni 2007)

  5. Ostale financijske institucije • Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog pregleda i revizorskog izvješća društava za osiguranje (NN 76/06) • Pravilnik o uvjetima za obavljanje poslova ovlaštenog društva (NN 14/07) • Pravilnik kojim se uređuje poslovanje društva za upravljanje investicijskim fondovima (NN 25/07)

  6. Djelomično… • Kazneni zakon (110/97) • Zakon o obveznim odnosima (NN 35/5) • Zakon o arhivskom gradivu i arhivima (NN 105/97) • Zakon o zaštiti i spašavanju (NN 174/04) • Zakon o elektroničkoj trgovini (NN 173/03)

  7. Zakon o zaštiti i spašavanju • NN 174/04 Čl. 18 Pravne osobe dužne su organizirati zaštitu i spašavanje od prijetnji i posljedica nesreća, većih nesreća i katastrofa i provoditi pripreme, poduzimati mjere pripravnosti i aktivnosti u katastrofama i otklanjanju posljedica te izvršavati druge obveze propisane ovim Zakonom, drugim propisima i svojim općim aktima • IT: Business Continuity Management

  8. Kazneni zakon • NN 110/97, izmjene i dopune (NN: 27/98, 129/00, 51/01,105/04 i 84/05) • 2004. dodana kaznena djela cyber-kriminala • čl. 223 Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava • Odredbe Konvencije o kibernetičkom kriminalitetu o tajnosti, nepovredivosti i dostupnosti podataka spremljenih na računalima i samih računala • Kazneni progon se vrši po službenoj dužnosti • Za inform. sigurnost relevantničlanci 223 i 224

  9. Zakon o obveznim odnosima • NN 35/05Uređuje osnove obveznih odnosa (opći dio) te ugovorni i izvanugovorni obvezni odnosi (posebni dio) • Ne sadrži kazne • nepoštivanje dovodi do odgovornosti za štetu • neka ponašanja mogu predstavljati kazneno djelo (npr. prijevara) • Za informacijsku sigurnost relevantan čl. 293.

  10. Zakon o arhivskom gradivui arhivima • NN 105/97 • Arhivsko je gradivo od interesa za Republiku Hrvatsku i ima njezinu osobitu zaštitu • Arhivsko i registraturno gradivo zaštićeno je bez obzira na to u čijem je vlasništvu ili posjedu, te je li registrirano ili evidentirano

  11. Registraturno gradivo je cjelina zapisa nastalih djelovanjem pravne ili fizičke osobe • Arhivsko gradivo nastaje odabirom iz registraturnog gradiva • od trajnog značenja za kulturu, povijest i druge znanosti • Arhivi su ustanove za čuvanje, zaštitu, obradu i korištenje AG • Pismohrana je ustrojstvena jedinica u kojoj se čuva AG do predaje nadležnom arhivu

  12. Hrvatski državni arhiv • Vodi registar arhivskih fondova i zbirki • Vodi upisnik svih arhiva i vlasnika arhivskog gradiva • S ostalim arhivama • Provodi mjere zaštite AG i brine za njegovu sigurnost • Obavlja stručni nadzor • Obavlja sigurnosno i zaštitno snimanje, restauratorske i konzervatorske poslove

  13. Zakon o elektroničkom potpisu NN 10/02

  14. Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta • Napredan elektronički potpis – pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4.

  15. Čl. 4. Napredan elektronički potpis: • je povezan isključivo s potpisnikom • nedvojbeno identificira potpisnika • nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika • sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka

  16. Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, odnosno vlastoručni potpis i otisak pečata • Ne može se odbiti prihvaćanje dokumenta samo zbog toga što je sačinjen i izdan u elektroničkom obliku s elektroničkim potpisom • Iznimke: nekretnine, oporuke, (pred)bračni ugovori, darovanje imovine, nasljeđivanje…

  17. Certifikat • Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa • Kvalificirani certifikat je elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis

  18. Kvalificirani certifikat • oznaku o tome da se radi o kvalificiranom certifikatu, • identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke; nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne osobe i sjedište, ako certifikat izdaje pravna osoba), • identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako ga osoba ima, datum rođenja, prebivalište, odn. boravište). • podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa koji su pod kontrolom potpisnika, • podatke o početku i kraju važenja certifikata, • identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku, te datum izdavanja), • napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata, • ograničenja vezana za uporabu certifikata, ako ih ima, • ograničenja na vrijednost poslovnih događaja za koje se daje certifikat, ako ih ima.

  19. Ministarstvo gospodarstva • Vodi evidenciju o davateljima usluga certificiranja • Ministar gospodarstva pravilnikom propisuje vrstu, sadržaj i način dostave dokumentacije o ispunjavanju uvjeta • Ne treba dozvola za obavljanje usluga certificiranja • Usluge certificiranja mogu obavljati samo registrirani/evidentirani davatelji usluga

  20. Uvjeti • organizacija rada koja jamči kvalitetu • financijska i materijalna sredstva za trajnije izvođenje usluge certificiranja i pokrivanje šteta, osiguranje i sl. • Kvalificirano osoblje za tehničke poslove, vođenje registra i zaštitu osobnih podataka • tehničku i programsku osnovicu koja podržava međunarodne standarde • sustav fizičke zaštite uređaja, opreme i podataka • zaštitu od neovlaštenog pristupa i oštećenja informacija

  21. Uvjeti… • osigurano točno utvrđivanje datuma i vremena (sata i minute) izdavanja ili opoziva certifikata • osiguranu provjeruidentiteta potpisnika • pouzdane mjere protiv krivotvorenja • osiguranje od rizika moguće štete • sustav pohrane • sigurnosni sustav • zaštita od neovlaštenog kopiranja, pristupa… • dostupnost samo za odobrenu svrhu • informiranje o točnim uvjetima korištenja

  22. Zakon o elektroničkoj ispravi NN 150/05

  23. Elektronička isprava • jednoznačno povezan cjelovit skup podataka koji su • elektronički oblikovani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju • sadrži svojstva kojima se utvrđuje izvor (stvaratelj) • utvrđuje vjerodostojnost sadržaja • dokazuje postojanost sadržaja u vremenu • Sadržaj elektroničke isprave uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.

  24. Izvornik i kopije • Svaki pojedinačni primjerak elektroničke isprave koji je potpisan elektroničkim potpisom smatra se u smislu ovoga Zakona izvornikom • Elektronička isprava ne može imati elektroničku presliku (presliku u elektroničkom obliku) • Ako ista osoba izradi više isprava s istim sadržajem, u elektroničkom obliku i na papiru, te se isprave smatraju neovisnim • Isprava izrađena na papiru ne smatra se preslikom elektroničke isprave

  25. Preslika na papiru • Izrađuje se ovjerom ispisa vanjskog obrasca prikaza elektroničke isprave na papiru uz primjenu postupaka predviđenih zakonom i drugim propisima • Ovjeru ispisa obavljaju • ovlaštene osobe u tijelima javne vlasti • javni bilježnik • Ispis na papiru mora sadržavati oznaku da se radi o preslici elektroničke isprave

  26. Čuvanje elektroničkih isprava • u informacijskom sustavu ili na medijima koji omogućuju trajnost elektroničkog zapisa za utvrđeno vrijeme čuvanja i čine elektroničku arhivu • u čitljivom obliku za cijelo vrijeme čuvanja dostupne ovlaštenim osobama • čuvaju se podaci o elektroničkim potpisima • vjerodostojno utvrđivanje podrijetla, stvaratelja, vrijeme, način i oblik u kojem je zaprimljena u sustav na čuvanje • pohranjene uz razumno jamstvo da ne mogu biti mijenjane i da se ne mogu neovlašteno brisati • postupci održavanja i zamjene medija za pohranu elektroničkih isprava ne narušavaju cjelovitost i nepovredivost elektroničkih isprava

  27. Zakon o tajnosti podataka NN 79/07

  28. Podatak • Dokument, odnosno svaki napisani, umnoženi, nacrtani, slikovni, tiskani, snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podatka, saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija, koja s obzirom na svoj sadržajima važnost povjerljivosti i cjelovitosti za svoga vlasnika

  29. Klasificirani podatak • Podatak koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen stupanj tajnosti • Podatak kojeg je Republici Hrvatskoj tako označenog predala druga država ili međunarodna organizacija

  30. Neklasificirani podatak • Podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe • Podatak koji je Republici Hrvatskoj tako označenog predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje

  31. Klasifikacija • Klasifikacija podatka je postupak utvrđivanja jednog od stupnjeva tajnosti podatka s obzirom na stupanj ugroze • Deklasifikacija - prestanak postojanja razloga zbog kojih je podatak klasificiran • postaje neklasificirani s ograničenom uporabom samo u službene svrhe

  32. Vlasnik podatka je nadležno tijelo u okviru čijeg djelovanja je klasificirani ili neklasificirani podatak nastao • Certifikat je uvjerenje o sigurnosnoj provjeri (osoblja) koje omogućava pristup klasificiranim podacima

  33. Zloporaba • Klasificiranim podatkom ne može se proglasiti podatak radi prikrivanja kaznenog djela, prekoračenja ili zlouporabe ovlasti te drugih oblika nezakonitog postupanja u državnim tijelima

  34. Propisuje vrste tajni državna službena vojna profesionalna poslovna i stupnjeve tajnosti vrlo tajno tajno povjerljivo Zakon o zaštiti tajnosti podataka (1996.)

  35. Zakon o tajnosti podataka(2007.) • Za klasificirane podatke određuje samo stupnjeve tajnosti • Vrlo tajno • Tajno • Povjerljivo • Ograničeno

  36. Uži opseg • Klasificirati se mogu podaci iz djelokruga državnih tijela u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva ukoliko su od sigurnosnog interesa za RH • Ne spominje se poslovna i profesionalna tajna • vrijede odredbe starog zakona • Ministarstvo pravosuđa treba prilagoditi zakone

  37. Čl. 6. Vrlo tajno • Podaci čije bi neovlašteno otkrivanje nanijelo nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske, a osobito sljedećim vrijednostima: • temelji Ustavom utvrđenog ustrojstva RH • neovisnost, cjelovitost i sigurnost RH • međunarodni odnosi RH • obrambena sposobnost i sig-obavještajni sustav • sigurnost građana • osnove gospodarskog i financijskog sustava RH • znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost RH

  38. Ostali stupnjevi tajnosti • TAJNO • podaci čije bi neovlašteno otkrivanje teško naštetilo vrijednostima iz čl. 6. • POVJERLJIVO • podaci čije bi neovlašteno otkrivanje naštetilo vrijednostima iz čl. 6. • OGRANIČENO • podaci čije bi neovlašteno otkrivanje naštetilo djelovanju i izvršavanju zadaća državnih tijela

  39. Postupak klasificiranja • Obavlja se pri nastanku podataka • Prilikom periodične procjene • Vlasnik podatka dužan je odrediti najniži stupanj tajnosti koji osigurava zaštitu interesa

  40. Periodična procjena • VRLO TAJNO najmanje jednom u 5 godina • TAJNO najmanje jednom u 4 godine • POVJERLJIVO najmanje jednom u 3 godine • OGRANIČENO najmanje jednom u 2 godine • O promjeni stupnja tajnosti ili o deklasifikaciji podatka vlasnik će pisanim putem izvijestiti sva tijela kojima je podatak bio dostavljen

  41. Interes javnosti • Vlasnik podatka dužan je ocijeniti razmjernost između prava na pristup informacijama i zaštite vrijednosti • Prije donošenja odluke vlasnik podatka je dužan zatražiti mišljenje Ureda Vijeća za nacionalnu sigurnost

  42. Pristup • Pristup klasificiranim podacima • Osobe kojima je to nužno za obavljanje posla • Imaju izdano uvjerenje o obavljenoj sigurnosnoj provjeri (certifikat) • Organizacije podnose UVNS-u zahtjeve za izdavanje certifikata za zaposlenike, koji bi u okviru svog djelokruga trebali imati pravo pristupa klasificiranim podacima

  43. Trajanje certifikata • Certifikat se izdaje, ako ne postoje sigurnosne zapreke, na rok od pet godina za stupnjeve • Vrlo tajno • Tajno • Povjerljivo

  44. Zakon o informacijskoj sigurnosti NN 79/07

  45. Opseg • Primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima koje u svom djelokrugu koriste klasificirane i neklasificirane podatke • Na pravne i fizičke osobe koje pristupaju klasificiranim i neklasificiranim podacima

  46. Izvan opsega • ZIS se ne primjenjuje na IS pravnih i fizičkih osoba koje ne dolaze u dodir s podacima od javnog značenja • Trgovačka društva, banke itd. • Kod njih je primjena pravila i dobre prakse koju ZIS propisuje dobrovoljna

  47. Međunarodna praksa • Upravljanje sigurnošću na razini države: • Središnje državno tijelo za IS • National Security Authority – NSA • Središnje tijelo za tehnička područja IS • National Communication Security Authority NCSA • ili InfoSec Authority - IA

  48. RH • Ured Vijeća za nacionalnu sigurnost • UVNS - naš NSA • Zavod za sigurnost informacijskih sustava • ZSIS - naš NCSA, za tehnička pitanja

  49. Informacijska sigurnost • Stanje povjerljivosti, cjelovitosti i raspoloživosti podataka • Postiže se primjenom propisa i standarda IS i organizacijskom podrškom • Mjere IS su pravila zaštite podataka na fizičkoj, tehničkoj i organizacijskoj razini

More Related