1 / 16

INFORMAČNÁ BEZPEČNOSŤ 11

INFORMAČNÁ BEZPEČNOSŤ 11. RNDr. Eva KOSTRECOVÁ, PhD. SÚLAD S LEGISLATÍVOU, ŠTANDARDAMI A NORMAMI. Obsah prednášky: Súlad so zákonnými požiadavkami Previerky bezpečnostnej politiky a zabezpečenie technického súladu Audit systému. ÚVOD.

tea
Download Presentation

INFORMAČNÁ BEZPEČNOSŤ 11

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INFORMAČNÁ BEZPEČNOSŤ 11 RNDr. Eva KOSTRECOVÁ, PhD.

  2. SÚLAD S LEGISLATÍVOU, ŠTANDARDAMI A NORMAMI Obsah prednášky: • Súlad so zákonnými požiadavkami • Previerky bezpečnostnej politiky a zabezpečenie technického súladu • Audit systému

  3. ÚVOD Návrh, implementácia, prevádzka a správa informačných systémov môže byť predmetom legislatívnych, regulačných a kontraktačných bezpečnostných požiadaviek. Preto je potrebné zabezpečiť súlad vnútorných technických predpisov, noriem, bezpečnostných a organizačných opatrení s technickými predpismi a normami Slovenskej republiky, ale aj európskymi a medzinárodnými technickými normami.

  4. SÚLAD S LEGISLATÍVOU SLOVENSKEJ REPUBLIKY Legislatíva SR sa neustále mení a preto je potrebné zabezpečiť sledovanie týchto zmien. Sledovanie legislatívnych zmien by malo byť v kompetencii právneho špecialistu v spolupráci s príslušnými odbornými útvarmi spoločnosti. Zavedenie platnej legislatívy sa do predpisov a nariadení spoločnosti vykonáva: • zapracovaním legislatívnych požiadaviek do interných predpisov a nariadení spoločnosti, • úpravou technologických postupov, • úpravou obchodných a pracovných zmlúv, • úpravou pracovných činností, • prijatím organizačných a technických opatrení, • zavedením bezpečnostných opatrení.

  5. SÚLAD S LEGISLATÍVOU SLOVENSKEJ REPUBLIKY /2 Okrem legislatívy, ktorá priamo súvisí s činnosťou spoločnosti je potrebné zohľadniť aj tú legislatívu, ktorá má všeobecnú účinnosť a vnútorné prostredie zabezpečiť tak, aby tejto legislatíve vyhovovali: • ochrana utajovaných skutočnosti a ochrana obchodného tajomstva, • ochrana zamestnanca, zamestnávateľa, práva a povinnosti v zmysle Zákonníka práce, • ochrana osobných údajov a výkon povinností prevádzkovateľa IS a ochrana ostatných údajov v IS, • dodržiavanie práv a povinností vyplývajúcich z autorského zákona, ochrana ostatného duševného a priemyselného vlastníctva, • bezpečnosť a ochrana zdravia pri práci, • ochrana životného prostredia.

  6. SÚLAD S LEGISLATÍVOUEURÓPSKEJ ÚNIE Vzhľadom k vstupu Slovenskej republiky do Európskej únie a z toho vyplývajúcej aproximácii práva, je potrebné zabezpečiť súlad interných noriem a postupov v spoločnosti s legislatívou Európskej únie. Sledovanie európskych a medzinárodných noriem a smerníc umožňuje: • včas reagovať a pripraviť sa na zmeny v legislatíve, • zamedziť problémom a sporom vznikajúcim na základe nesprávne uzatvorených obchodných a partnerských vzťahov, • vytvoriť relevantné prostredie medzinárodnej spoločnosti, • vytvoriť prostredie zodpovedajúce európskym a medzinárodným požiadavkám, • poskytovať služby zahraničným subjektom, • zabezpečiť práva medzinárodným používateľom, • byť konkurencieschopný na medzinárodnom a národnom trhu.

  7. SÚLAD TECHNICKÝCH A ORGANIZAČNÝCH OPATRENÍ Každá spoločnosť by mala zabezpečiť súlad vnútorných technických predpisov, noriem, bezpečnostných a organizačných opatrení s technickými predpismi a normami SR, ako aj európskymi a medzinárodnými technickými normami. V rámci tohto poslania by mala: • sledovať národné normy (Slovenský ústav technickej normalizácie - STN), • sledovať európske normy (European Committee for Electrotechnical Standardization - CENELEC), • sledovať medzinárodné normy (ISO a International Electrotechnical Commission - IEC), • zosúladiť terminológiu s medzinárodnými organizáciami, • oboznamovať zamestnancov s príslušnými technickými normami, • sledovať vydávanie technických predpisov, • zabezpečiť spracovanie technických predpisov v podmienkach spoločnosti.

  8. SÚČINNOSŤ S ORGÁNMI ŠTÁTNEJ SPRÁVY V zmysle platnej legislatívy je každá spoločnosť povinná: • spolupracovať s Policajným zborom a inými orgánmi činnými v trestnom konaní pri odhaľovaní zlomyseľných volaní a šírení informácií a poplašných správ, • poskytovať potrebnú súčinnosť súdom, prokuratúre a inému orgánu štátu podľa osobitných predpisov a na základe písomnej žiadosti. V súlade s príslušnými predpismi im bezplatne poskytnúť informácie, ktoré sú predmetom ochrany osobných údajov, ak je poskytovanie týchto informácií alebo údajov nevyhnutné na plnenie konkrétnych úloh týchto orgánov podľa zákona. O poskytnutí informácií alebo inej súčinnosti sú zamestnanci prevádzkovateľa povinní zachovávať mlčanlivosť.

  9. OCHRANA AUTORSKÝCH PRÁV Spoločnosť by mala zabezpečiť ochranu pred porušovaním: • autorských práv programátorov spoločnosti, • autorských právnakúpených systémov, • autorských právprogramov, ktoré vznikli v spoločnosti. Podľa autorského zákona 618/2003 Z. z. je počítačovým programom súbor príkazov a inštrukcií použitých priamo alebo nepriamo v počítači. Neoddeliteľnou súčasťou počítačového programu je aj podkladový materiál potrebný na jeho prípravu. Počítačový program je chránený ako literárne dielo. Ak bol program vytvorený v zahraničí, tak musia byť rešpektované legislatívne predpisy krajiny pôvodu a licenčná zmluva na program. Zamestnanci spoločnosti nesmú do softvéru vyvinutého treťou stranou vykonávať zmeny, ktoré by boli v rozpore s platnou legislatívou, prípadne licenčnou zmluvou.

  10. OCHRANA AUTORSKÝCH PRÁV /2 Program, ktorý bol vytvorený zamestnancom spoločnosti v pracovnoprávnom pomere, môže spoločnosť používať len v rozsahu nevyhnutnom pre svoje bežné aktivity. Autorom programu zostáva podľa platnej slovenskej legislatívy zamestnanec spoločnosti. Autorské právo nie možné previesť na inú osobu alebo subjekt a nie je možné ho obmedziť. Za každé použitie diela má autor právo na odmenu. Ak spoločnosti chcú používať dielo aj inak ako pre vlastnú potrebu, je potrebné podpísať s autorom (interným zamestnancom) autorskú zmluvu. Porušenie autorského práva môže viesť k právnym krokom, vrátane trestných konaní. Trestné postihy sú však v každej krajine odlišné.

  11. SOFTVÉROVÉ LICENCIE Na serveroch, pracovných staniciach a iných zariadeniach spoločnosti by mal byť nainštalovaný len schválený a legálny softvér. Všetky legálne softvérové produkty sú chránené autorským právom a dodávané používateľom na základe licenčnej zmluvy a licenčných podmienok. Softvérové licencie môžu byť udeľované na meno používateľa, ako concurrent používateľské licencie, licencie na počet procesorov, entreprise licencie a pod. K úlohám správcu softvéru by malo patriť aj sledovanie zmien jednotlivých používaných softvérových produktov a implementácia patchov - opráv chýb, vydaných autorom softvéru. Neautorizovaná inštalácia softvéru a zmeny konfigurácie pracovných staníc by mali byť v každej spoločnosti prísne zakázané. Správcovia systémov, najmä koncových zariadení, by mali pravidelne vykonávať inventarizáciu softvéru, ktorý je nainštalovaný na zariadeniach spoločnosti. Na inventarizáciu softvéru sa môžu využívať aj automatizované prostriedky správy zdrojov. V prípade, že sa zistí inštalácia nelegálneho softvéru, mala by byť takáto udalosť považovaná za bezpečnostný incident.

  12. OCHRANA PRIEMYSELNÉHO A DUŠEVNÉHO VLASTNÍCTVA Cieľom každej spoločnosti by malo byť zabezpečenie ochrany priemyselných práv a iného duševného vlastníctva spoločnosti v súlade so zákonom 527/1990 Zb. o vynálezoch, priemyselných vzoroch a zlepšovacích návrhoch a zákonom č. 478/1992 Zb. o úžitkových vzoroch. Mali by existovať procedúry pre zabezpečenie nehmotného duševného vlastníctva a priemyselno-právnej ochrany, v ktorých by mal byť zapracovaný minimálne vzor zmluvy týkajúcej sa prijatia ponuky zlepšovacieho návrhu alebo vynálezu a postup vyplácania odmeny za tento návrh alebo vynález v súlade s ustanoveniami zákona 527/1990 Zb. a zmluvy s pôvodcom, upravujúcej právo spoločnosti na vynález.

  13. OCHRANA OBCHODNÉHO TAJOMSTVA V spoločnosti je potrebné definovať povinnosti týkajúce sa zamedzenia porušenia a ohrozenia obchodného tajomstva. Tieto povinnosti musia byť odstupňované tak, aby nemohlo prísť k prezradeniu alebo sprístupneniu obchodného tajomstva v prospech tretej osoby alebo vo vlastný prospech. Povinnosť ochrany obchodného tajomstva sa musí týkať každého zamestnanca spoločnosti. Skutočnosti, ktoré tvoria predmet obchodného tajomstva sú, podľa ustanovenia § 17 a 20 Obchodného zákonníka, informácie a údaje identifikovateľné, významné a utajované, ktorých ochrana musí byť v spoločnosti zodpovedajúcim spôsobom zaistená. Pod ochranu obchodného tajomstva sa zaraďujú aj predmety priemyselného vlastníctva a iného duševného vlastníctva. Súčasťou ochrany obchodného tajomstva musí byť presné, menovité stanovenie údajov, informácií, predmetov a skutočností, ktoré tvoria obchodné tajomstvo.

  14. OCHRANA OSOBNÝCH ÚDAJOV V spoločnosti je potrebné vytvoriť procedúry, ktoré zabezpečia v súlade s požiadavkami legislatívy ochranu osobných údajov zamestnancov a klientov, ktoré sú spracúvané v spoločnosti. Všetci zamestnanci spoločnosti musia byť prostredníctvom vzdelávacieho programu poučení o svojich povinnostiach vyplývajúcich z platnej legislatívy, najmä o zachovávaní mlčanlivosti o osobných údajoch, s ktorými prišli do styku a to aj po ukončení pracovného pomeru v spoločnosti alebo po definitívnom ukončení spracovania príslušnej aplikácie. Zodpovednosť používateľov za ochranu údajov, ku ktorým majú prístup, by mala byť zakotvená aj v ich pracovných zmluvách. Každej dotknutej osobe - zamestnancovi alebo klientovi, ktorej údaje sa spracúvajú v spoločnosti, musí byť na požiadanie poskytnutá informácia o tom, aké osobné údaje sa o nej spracúvajú.

  15. OCHRANA OSOBNÝCH ÚDAJOV /2 Dokumenty a formuláre obsahujúce položky osobných údajov, ktoré sú povinní zamestnanci alebo klienti vyplniť, musia byť vybavené textom v zmysle § 7 zákona č. 428/2002 Z. z., napríklad: Na základe § 7 zákona 428/2002 Z. z. dávam svojím podpisom súhlas na to, aby osobné údaje uvedené mnou v tomto formulári boli ďalej spracované v informačnom systéme v súlade so zákonom 428/2002 Z. z. Súčasne beriem na vedomie, že podľa § 11 citovaného zákona zodpovedám za pravdivosť uvedených údajov.

  16. POUŽÍVANIE ZDROJOV Hmotné a nehmotné aktíva spoločnosti by mali byť využívané zamestnancami len pre zabezpečenie funkčnosti spoločnosti. Každý oprávnený zamestnanec by mal mať také prístupové práva k zdrojom spoločnosti, aby bol zabezpečený výkon jeho funkcie v súlade s pracovnou náplňou. Od zamestnanca by sa malo vyžadovať preukázanie identity pri vstupe do informačného systému vhodným bezpečnostným mechanizmom. Využitie aktív spoločnosti zamestnancom na činnosti, ktoré nesúvisia s jeho pracovnými povinnosťami by malo byť zakázané a klasifikované ako bezpečnostný incident. V prípade dokázania, že zamestnanec porušil bezpečnostné opatrenia malo by byť voči nemu začaté disciplinárne konanie a v prípade podozrenia z trestného činu aj oznámenie konania príslušným útvarom polície. Činnosť zamestnancov v systémoch by mala byť monitorovaná a auditovaná, aby mohlo byť identifikované neautorizované alebo nelegálne použitie zdrojov spoločnosti.

More Related