Embed Size (px)
Citation preview
Agencija za zaštitu osobnih podataka
Nadzorne aktivnosti Agencije
Obveze voditelja zbirki
Video nadzor
o Zakon o zaštiti osobnih podataka
o Prva regulativa u hrvatskom zakonodavstvu na temu informacijske sigurnosti
o Agencija nadzire provođenje zaštite osobnih podataka.
o Voditelj zbirke osobnih podataka i korisnik dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe, te utvrditi obvezu osoba koje su zaposlene u obradi podataka, na čuvanje tajnosti podataka.
o Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka
o Zakon o informacijskoj sigurnosti
o Mjere i standardi informacijske sigurnosti za zaštitu neklasificiranih podataka
o Poznata svrha
o Odrediti kriterije
o Odrediti uloge uključenih tijela (voditelj, korisnik, izvršitelj obrade)
o Sigurnost podataka:
o Fizička (zaključana soba)
o Tehnička (zaporka, enkripcija)
o Organizacijska (ovlaštenja, treninzi)
Zakon se odnosi na korištenje tehnologije, pouzdanost zaposlenika koji imaju pristup osobnim podacima, te angažman izvršitelja obrade. Ukratko voditelj zbirke osobnih podataka dužan je: • Provesti odgovarajuću tehnološke mjere zaštite koje će osigurati zaštitu od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa, uzimajući u obzir stanje tehnološkog razvoja, trošak tehnologije, prirodu podataka koja je zaštićena i štete koje mogu proizaći iz povrede sigurnosti. Iz navedenog bi trebalo slijediti da za informacije čija povreda sigurnosti može prouzrokovati ozbiljne posljedice voditelj mora uvesti najsuvremenije tehnologije koje neće biti nužne u slučaju kada informacije nisu tako osjetljive; •Zaposliti pouzdano osoblje i poduzeti mjere kako bi se osigurala njihova pouzdanost i tokom trajanja radnog odnosa; •Koristiti izvršitelje obrade koji su registrirani za obavljanje takve djelatnosti i koji osiguravaju dovoljna jamstva u pogledu ostvarivanja odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka, koji obavlja poslove samo na temelju naloga voditelja zbirke osobnih podataka iz ugovora, te isti ne smiju osobne podatke davati na korištenje drugim korisnicima, niti ih smiju obrađivati za bilo koju drugu svrhu osim ugovorene.
Organizacijske mjere mogu uključivati mjere kao: sigurnosna politika, odgovornost za vlasništvo podataka ili treninzi s ciljem osvješćivanja djelatnika na temu sigurnosti podataka. Redoviti pregledi nedavnih incidenata gubitka podataka, kao i mnoge druge mjere nažalost nedostaju u javnim i privatnim organizacijama.
Kada ste zadnji put pregledali Vašu sigurnosnu politiku? Jeste li uzeli u obzir uporabu prijenosnih medija, kao što je USB, prijenosnih računala i pametnih telefona? Koliko su Vaše sigurnosne politike dostupne svim djelatnicima i dovoljno detaljne kako bi se zaposlenici znali nositi s podacima za koje su zaduženi. Djelatnici moraju biti svjesni svoje uloge i odgovornosti pri rukovanju podacima, te činjenice da se sigurnosne mjere strogo provode.
Učinkovit način primjene politike je uvođenje odgovornosti u opise radnih mjesta.
provjeriti adekvatnu razinu zaštite podataka prilikom iznošenja podataka izvan granica Republike Hrvatske,
način prikupljanja,
vremensko razdoblje čuvanja i uporabe podataka,
podaci se ne smiju prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha,
treba osigurati prava ispitanika
o NADZOR - primjena (u praksi) zadanog pravnog okvira kod voditelja zbirki osobnih podataka.
o REZULTAT - zapisnik kojim se utvrđuju nedostaci kod voditelja zbirki osobnih podataka.
o Sve osobe koje posredno ili neposredno mogu doći do osobnih podataka moraju se obvezati na povjerljivost.
o Fizičke osobe
o Pravne osobe
o Zaposlenici tvrtke
o Održavatelji aplikacija/baza koje sadrže
ili obrađuju osobne podatke
o Održavatelji sistemskog softvera
o Održavatelji hardvera
o Takve obveze potrebno je držati ažurnima i podržanima od strane uprave
o Nužno je osobne podatke štititi lozinkom koja će onemogućavati korisniku izbjegavanje njene primjene u praksi ili korištenje trivijalnih lozinki.
o Uporaba lozinki na nivou svake pojedinačne osobe
o Mehanizam kojim se jamči da samo krajnji korisnik zna svoju zaporku
o Korištenje zaporki s minimalno 6 alfanumeričkih znakova uz barem jedno slovo i barem jednu brojku
o Onemogućavanje korištenja već upotrijebljenih zaporki
o Ograničenje broja pokušaja unosa neispravnih zaporki
o Vremensko mijenjanje zaporki najmanje dva puta godišnje
o Politikom lozinki ograničavamo pristup osobnim podacima na način da propuštamo samo ovlaštene osobe, a štitimo ga od neovlaštenog pristupa
o Kako bi se pak sustav mogao nadzirati nužno je sve neovlaštene pristupe bilježiti i u tu svrhu najčešće se koriste tzv. log datoteke koje sadrže navedene zapise
Sve ovlaštene pristupe i pokušaje neovlaštenog pristupa
osobnim podacima potrebno je zabilježiti korisničkim
imenom, nadnevkom i vremenom prijave i odjave
o Izradu sigurnosnih kopija (backup) svih baza koje sadrže osobne podatke potrebno je obavljati na dnevnoj, tjednoj, mjesečnoj i godišnjoj bazi
o Svrha sigurnosnih kopija: potreba obnove zbirke u slučaju požara, poplave, potresa ili neke druge nesreće
o Preporuka medija: prenosivi informatički mediji
o Dnevno pohranjivanje: o pohranjivanje u onoliko dnevnih primjeraka koliko ima radnih dana u tjednu.
o Tjedno pohranjivanje: o provodi se posljednji radni dan u tjednu, nakon provedbe dnevnog
pohranjivanja
o Podaci sustava pohranjuju se u onoliko tjednih primjeraka koliko u mjesecu ima posljednjih radnih dana u tjednu (4 ili 5)
o Mjesečno pohranjivanje: o provodi se posljednji radni dan u mjesecu, za svaki mjesec posebice, u 12
primjeraka godišnje
o Godišnje pohranjivanje: o provodi se posljednji radni dan u godini
o svaki primjerak godišnje pohranjenih podataka čuva se
u periodu određenom posebnim propisima
o Sigurnosne kopije na prenosivim informatičkim medijima označavaju se
brojem, vrstom (dnevno, tjedno, mjesečno, godišnje), nadnevkom pohranjivanja, te imenom osobe koja je pohranjivanje provela
o Pohranjene sigurnosne kopije moraju putem procesa oporavka sustava (restore) biti u mogućnosti vratiti sve podatke na način da budu u cijelosti raspoloživi za uporabu, bez gubitka informacija
o Na sigurnosne kopije, jednako kao i na samu bazu u kojoj se nalaze osobni podaci, primjenjuju se iste tehničke i kadrovske mjere zaštite
o kopija baze mora biti zaštićena najmanje kao original
o sigurnosne kopije pohranjuju se na bližu (dnevno pohranjivanje), odnosno na udaljenu lokaciju (tjedno, mjesečno i godišnje pohranjivanje)
o lokacija za pohranu sigurnosnih kopija mora biti zaštićena od neovlaštenog pristupa
o sigurnosne kopije moraju biti i logički zaštićene kriptiranjem ili uporabom snažnih lozinki pri kreiranju arhiva
o politika pohrane mora sadržavati ovlasti, odgovornost, detaljan plan izrade sigurnosnih kopija, ažurnu evidenciju o izvršenju procedura pohrane.
o Osigurati mehanizam za zaštitu sistema od računalnih virusa i drugih štetnih programa
o Zanemarivanje može uzrokovati posljedice u vidu mijenjanja, oštećenja ili gubitka osobnih podataka
o U tu svrhu koristimo antivirusni, antispam, antispyware, firewall i slični softver i hardver uz podrazumijevano svakodnevno ažuriranje novim definicijama
o Osigurati adekvatne fizičke mjere zaštite računalne i telekomunikacijske opreme koja pohranjuje, obrađuje i prenosi osobne podatke
o Minimalne fizičke mjere zaštite prostorije u kojoj se pohranjuje oprema koju je potrebno osigurati:
o smještaj opreme u zaštićene prostorije s ograničenim pristupom
o aparat za gašenje požara uz upute za uporabu u neposrednoj blizini prostorije
o uređaj za hlađenje prostorije
o izvor neprekidnog napajanja (UPS)
o U prostoriji se ne smiju nalaziti izvori čestica prašine, lakozapaljivih sredstava ili tekućina, električnih ili magnetskih polja, te vode
o U slučaju prijenosa osobnih podataka izvan tvrtke osigurati siguran prijenos.
o koristiti metode zaštite podataka od neovlaštenog pristupa (kriptiranje podataka, zaštita lozinkom, prijenos u vodootpornom i vatrootpornom kovčegu zaštićenim šifrom, korištenje sigurnosnih SSL/TLS protokola za kriptiranu komunikaciju i sigurnosnu identifikaciju)
oVoditelj zbirke osobnih podataka tjedno, mjesečno i godišnje provjerava rad
svih dijelova sustava.
Provjera utvrđenih mjera, postupaka i osoba ovlaštenih za osiguranje, pohranjivanje i zaštitu sustava, članak 38.
oMjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu
sustava određuju se, ostvaruju i provjeravaju prema planu kojeg donosi
voditelj zbirke osobnih podataka a u skladu s međunarodnim preporukama
za to područje (ISO 17799).
Tjedno, mjesečno i godišnje provjeravanje rada sustava, članak 37.
Snimke učinjene video nadzornim sustavom smatraju se
osobnim podacima ukoliko na njima možemo (posredno
ili neposredno) identificirati snimljenu osobu.
o Opravdanost sustava o adekvatan, relevantan i ne pretjeran za svrhu za koju se koristi
o Pitanja: o za što će se koristiti? o koji će kadar snimati? o transparentnost o pohrana i brisanje o ostali korisnici? o zahtjev za pregledavanje
Mjere zaštite:
o mora postojati politika video nadzornog sustava koja uključuje svrhu i pravni temelj postavljanja sustava
o mora postojati lista osoba s pravom pristupa
o mora postojati procedura za pohranu i brisanje snimaka
o postojanje jasno istaknute oznake da je prostor pod video nadzorom
o fizička zaštita uređaja za pohranu snimaka mora odgovarati onoj za opremu koja sadrži i/ili obrađuje osobne podatke
o video nadzor mora biti postavljen tako da snimka bude odgovarajućeg opsega i sadržaja, te ujedno paziti na privatnost, naročito kod video nadzora na radnom mjestu
