Standardy (normy) a legislativa informacn bezpecnosti

Transkript

1 Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019

2 Standardy (normy) a legislativa Cl predn asky o standardech a standardizaci { umet odpovedet na ot azky: Co to jsou standardy, normy, doporucen? Jak vznikaj standardy a doporucen? Kdo je kdo ve svete standard u a doporucen? Kter e standardy informacn bezpecnosti jsou reprezentativn? Standardizacn organizace a principy jejich cinnosti a p usoben Upozorn en na hlavn de-iure standardy InfSec Generick a pr avn hlediska { koncept relevantnch pr avnch princip u Legislativa v CR souvisejc s InfSec GPDR, General Data Protection Regulation Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 1

3 What is a standard?, ISO/IEC Guide 2: 1996 A document, established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidance or characteristics of activities and their results, aimed at the achievement of the optimum degree of order in a given context. Dokument stanoven y na z aklade konsenzu a schv alen y uznan ym org anem, kter y poskytuje pro obecn e a opakovan e pouzit pravidla, pokyny nebo charakteristiky aktivit a jejich v ysledk u, zam eren y na dosazen optim alnho stupn e uspor ad an v dan em kontextu. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 2

4 Standard, norma, doporucen = dokumentovan a umluva umluva { o technick e specikaci nebo { o jin em podobn em presne stanoven em krit eriu cl umluvy pravidlo/sm ernice denujc charakteristick e vlastnosti materi al u, v yrobk u, proces u, sluzeb,... umoz nuje, aby materi aly, v yrobky, procesy, sluzby,,... byly takov e, jak e se zam ysl, ze maj b yt { form at platebn karty, { protokol komunikace, { politika poskytov an sluzby, {... Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 3

5 Standard, norma, doporucen = dokumentovan a umluva standard nebo norma? v Cesku (mimo oblast IT) se tradicn e pouzv a pojem,,norma\, coz je historick y vliv nemciny v oblasti IT celosvetove pojem,,norma\ vesmes prohr av a s pojmem,,standard\ { d ano vlivem progresivn globalizac anglictiny Doporucen (recommendation) { termn pouzvan y n ekter ymi organizacemi vyd avajc standardy msto termnu,,standard"(itu { telekomunikace,... ) Standard vyvinut y na b azi konsensu jist e komunity, de facto standard standard vypracovan y v r amci jist e komunity, kter a si pred jeho vyd anm odsouhlas, ze standard odpovd a j stanoven ym cl um napr. dokumenty RFC vyd avan e IETF pro oblast Internetu de facto standard reprezentuje spse liber aln pohled na sv et Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 4

6 Standard, norma, doporucen = dokumentovan a umluva Standard,,podle pr ava\, de iure standard umluva schv alen a uzn avanou instituc pov erenou tmto posl anm legislativou, rozhodnutm st atnch autorit,... standardy implicitne nejsou pr avne z avazn e, jist a pr avn norma ale m uze predepsat povinnost vyhov en (obvykle de iure) standardu typicky standardy vyd avan e organizacemi ISO, IEC, ITU,... de iure standard reprezentuje siln e konzervativn pohled na sv et konzervativci od liber al u prebraj co prebrat cht ej a co prebrat stac de facto standardy se vyd avaj rychleji vyzr al e de facto standardy, kter e se uk azaly jako efektivn, se casto prepracov avaj/prebraj na de iure standardy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 5

7 Standard, norma, doporucen = dokumentovan a umluva Z avaznost standard u z adn y standard s am o sobe nem a charakter pr avnho predpisu pr avn predpis m uze stanovit povinn e vyhov en standardu { v tom prpade se obvykle d av a prednost de iure standard um Mezin arodn charakter standard u v yrobci standardizovan ych produkt u/proces u v glob alnm prostred mus zvolit standard, kter emu proces/produkt vyhovuje tudz je nutn e zabr anit prlisn e diverzikaci prosazov an,,spr avn ych"technik,... mnoho standardů pokroku v technologiích smrt Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 6

8 Vyhov en standardu vs. certikace Compliance (vyhov en) vs. Certication (certikace) Produkt, sluzba, proces,... m uze b yt prohl asena za vyhovujc standardu prohl asen, ze produkt, sluzba, proces,... spl nuje podmnky denovan e standardem pozadavek vyhoven m uze b yt predepsan y z akonem, smlouvou,... Produkt, sluzba, proces,... m uze b yt certikovan y, tj. existuje certik at potvrzujc, ze je vyhovujc standardu Certikace { neutr aln d uv eryhodn a tret strana prov er validitu prohl asen o vyhoven standardu a vyd a o tom relevantn certik at Standardy denujc napr. algoritmus, jsou snadno certikovateln e Standardy n avod u jak budovat syst em/sluzbu jsou spse radou a certikace se obvykle nepozaduje Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 7

9 Probl emy standardizace Standard mus b yt odsouhlasen y vsemi cleny komunity mnoho r uzn ych pohled u na to, co je spr avn e pokud se do standardu dostane velk a sk ala voleb a povinn ych predpoklad u, obtzn e a n akladn e se implementuje to byl jeden z d uvod u proc model TCP/IP zvtezil nad modelem OSI Standard je jen dokument interpretace se mohou lisit, zvl aste pri prekladu do r uzn ych jazyk u Pokud produkt vyhov jen podstatn e c asti standardu, pak v podstat e vyhovuje standardu, ale nen vyhovujc standardu Pokud siln y v yrobce nahrad nez avisl e standardy sv ymi propriet arnmi standardy, v aze z akaznky na svoji propriet arn funkcionalitu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 8

10 Oblasti z ajmu de iure standard u univerz aln oblast bez portfeje { zahrnuje vse, bez omezen Celosv etov e odpov edn a instituce: International Organization for Standardization ISO, ISO ISO { isos, stejn y, z adn y akronym!!! celosv etov a federace vce nez cca 160 clensk ych n arodnch (st atnch) standardizacnch organizac (ISO Member Bodies) ex. od r oblast elektroniky a elektrotechniky Celosvetove odpovedn a instituce: ISO + International Electrotechnical Commission, IEC oblast komunikac Celosvetove odpovedn a instituce: ISO + International Telecommunications Union, ITU, konkr etn e jej T-sektor, sektor standardizace, ITU-T, od r n aslednick y org an CCITT ((1865) 1956{1993), Comité Consultatif International Téléphonique et Télégraphique Informacn bezpecnost je predm etem z ajmu ve vsech trech linich. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 9

11 Pr ace na de iure standardech v oblasti IT,,Spolecn y technick y v ybor cslo c. 1\, Joint Technical Committee, ISO/IEC JTC1 zrzen y ISO a IEC v destk ach podv ybor u (Subcommittee, SC) res ISO/IEC JTC1 standardizaci v r uzn ych oblastech IT Informacn bezpecnosti se v enuje SC 27, Security Techniques { v soucasnosti v SC27 p usob cca 40 clensk ych st at u Provozn z alezitosti chodu ISO/IEC JTC1 zajist'uje jeho odbor ITTF, IT Task Force ISO TC 68, ISO Technical Committee 68, Financial Services Informacn bezpecnosti se v enuje podv ybor SC 2, Security Management and General Banking Operations Doporucen (ekvivalent standardu) v oblasti komunikac vyd av a ITU-T ITU-T casto uzce spolupracuje s ISO/IEC JTC1 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 10

12 Evropsk e de iure standardizacn organizace Comit e Europ een de Normalisation, CEN odpovd a svoj p usobnost ISO Comit e Europ een de Normalisation El ectrotechnique, CENELEC odpovd a svoj p usobnost IEC European Telecommunications Standards Institute, ETSI odpovd a svoj p usobnost ITU Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 11

13 N arodn (st atn) de iure standardizacn organizace reprezentuj st at v ISO { ISO Member Bodies nejreprezentativn ejs normalizacn organizace v dan e zemi standardy,,siln ych\ organizac (ANSI, BSI, DIN,... ) jsou mnohdy respektov any a pragmaticky uzn av any i mezin arodn e Prklady ANSI { (U.S.A.), American National Standards Institute BSI { (U.K.), British Standard Institute DIN { (N emecko), Deutsches Institut f ur Normung SCC { (Kanada), Standards Council of Canada AFNOR { (Francie), Association Francaise de Normalisation... CSNI { Cesk y normalizacn institut Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 12

14 V yznamn e postaven U.S.A. vseobecn e mezin arodn respektov an a uzn av an je d ano urovn severoamerick ych technologi Institute of Electrical and Electronics Engineers, IEEE profesion aln org an inzen yr u v oblasti elektroniky a elektrotechniky normy IEEE vesmes maj v yrazn y mezin arodn v yznam a dopad mj. se v yrazne zameruje i na normy bezpecnosti zn am e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX) National Institute for Standards and Technology, NIST vl adn standardizacn org an, vyd av a standardy feder aln st atn spr avy USA n astupce NBS (National Bureau of Standards) vyd av a tzv. FIPS, Federal Information Processing Standards Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 13

15 V yznamn e postaven U.S.A. American National Standards Institute, ANSI z astupce USA v organizaci ISO v enuje se mj. i normalizacn cinnosti v oblasti bezpecnosti IT, zvl ast e pak norm am bezpecnosti bankovnho sektoru Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 14

16 Prklad oblasti de facto standard u { RFC (ISOC) RFC (Request for Comment) n azev internetovsk ych standard u, d ano historickou souvislost V pozad p usob { Internet Society, ISOC institucion alnch, 6000 individu alnch clen u z cca 100 zem Internet reprezentuje { Internet Activities Board, IAB rada pro internetovsk e cinnosti manazersky spravuje a rd provoz Internetu prov ad dohled nad architekturou protokol u a procedur zalozena v r. 1983, m a individu alnch 13 clen u hlavn odpovednost za v yvoj a posuzov an RFC IAB delegovala na technickou poradn komisi { IETF, Internet Engineering Task Force Konecn e rozhodnut o vyd an (prijet) RFC del a IAB Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 15

17 Prklad oblasti de facto standard u { OWASP OWASP, The Open Web Application Security Project a worldwide free and open community focused on improving the security of application software standard v yvoje bezpecn e webovsk e aplikace standard testov an bezpecn e webovsk e aplikace standard hodnocen a kriteria z aruk za bezpecnost bezpecn e webovsk e aplikace Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 16

18 Prklad oblasti de facto standard u { ISACA ISACA, Information Systems Audit and Control Association mezin arodn organizace auditor u v ypocetnch syst em u v r vyd av a COBIT, The Control Objectives for Information and related Technology a set of best practices (framework) for information technology management Cl COBIT: výzkum, vývoj, podpora a zveřejňování odborně věrohodného, aktuálního a mezinárodně platného souboru obecně uznávaných cílů řízení informačních technologií pro každodenní používání manažery a auditory. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 17

19 Prklad oblasti de facto standard u { ISF ISF, Information Security Forum mezin arodn nez avisl a, neziskov a v enujc se m eren a rozvoji praktik v informacn bezpecnosti v r vyd av a volne dostupn y standard (SoGP), The Standard of Good Practice { a detailed documentation of best practice for information security Cl ISF: derives from the ISO/IEC and COBIT v4.1. standards and outlines a functional information security methodology based on both research and real world experience Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 18

20 Firemn, propriet arn standardy kategorie de facto standard u obvykle standardy patentovan ych technik v yznamn y n astroj pro,,udrzen trhu"silnou spolecnost mnohdy hraj velmi silnou roli, napr. PKCS (Public-Key Cryptography Standards) publikovan y RSA Labs. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 19

21 Proces normalizace ISO Odpov ednost za tvorbu norem v dlcch oblastech maj technick e v ybory,technical Committees, TC tak e nekdy technick e komise komis / v ybor u je cca 200 TC si urcuje sv uj program v r amci vymezen em jeho rodicovskou organizac (ISO) s am tak, aby zadan y ukol vyresil Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 20

22 Proces normalizace ISO TC m uze delit svoji p usobnost mezi sv e podv ybory, SubCommittees, SC tak e subkomise, subkomis / podv ybor u je cca 500 SC obvykle del svoji p usobnost na pracovn skupiny, Working Groups, WG WG je v soucasnosti cca v pracovnch skupin ach se skutecn e pracuje, v yse se jen schvaluje Evoluce standard u v r amci TC/SC/WG je pomal a na standardu se pracuje a obvykle nekolik (typicky 5) let Pro soucasn y rozvoj IT je to velmi brzdc faktor Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 21

23 Zivotn cyklus ISO standardu n avrh nov e pracovn polozky NWI (New Work Item) a hlasov an v TC o NWI, jmenov an odpovedn eho editora s erie postupne vyd avan ych n avrh u standardu na urovni pracovn skupiny WD (Working Drafts) n avrh normy na urovni podv yboru (SC) CD (Committee Draft) a hlasov an v SC o CD (typicky po dobu 3 mesc u) n avrh mezin arodn normy DIS (Draft International Standard) a hlasov an v TC o DIS (obvykle po dobu 4{6 mesc u) konecn y n avrh mezin arodnho standardu FDIS (Final DIS) s dobou pro hlasov an 2 mesce pot e FDIS zsk av a statut mezin arodn normy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 22

24 Zivotn cyklus ISO standardu p etilet a perioda hodnocen mezin arodnho standardu Kdyz se odhal-li se vada standardu { napr. byla podcen ena rychlost rozvoje technologie jsou prijm ana opatren, aby standardy byly revidov any i drve nez v p etilet em hodnotcm cyklu { syst em zpr av o vad ach ve standardech (Defect Report System) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 23

25 ISO TR (Technical Reports) Technick e zpr avy typu 1 se vyd av a tehdy, kdyz se ve v yboru nenalezla dostatecn a podpora pro vyd an standardu Rk a se v denici TR 1: navzdory opetovn e snaze nen mozn e prosadit materi al k vyd an jako r adn y standard dohoda nen mozn a, protoze n azory jednotliv ych n arodnch instituc (jednotliv ych clen u v yboru) se r uzn, standard nem uze b yt vydan y TR typu 1 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude prem en ena v mezin arodn standard Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 24

26 ISO TR (Technical Reports) Technick e zpr avy typu 2 vyd av a se v prpade, kdy standardizovan y predmet se st ale jest e z technick eho hlediska vyvj a za cas bude posouzeno, zda dohoda jiz mozn a je Rk a se v denici TR 2: predmet z ajmu normy je st ale ve st adiu rozvoje nebo existuje jin y d uvod, pro kter y nen mozn e schv alit mezin arodn standard okamzit e, v budoucnu to vsak zrejme mozn e bude TR typu 2 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude prem en ena v mezin arodn standard Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 25

27 ISO TR (Technical Reports Technick e zpr avy typu 3 se vyd avaj o probl emech, kter e bezne nepodl ehaj technick e standardizaci, ale urcit y n avrh je natolik v yznamn y a po form aln str ance pripraven y, ze bylo zhled ano jeho vyd an alespo n formou technick e zpr avy jako vhodn e Rk a se v denici TR 3: technick y v ybor shrom azdil r uzn e podklady, ze kter ych je norm alne publikov an mezin arodn standard TR typu 3 nen znovu posuzov ana, pokud informace v nich obsazen e nejsou shled any neplatn ymi ci neuzitecn ymi TR typu 3 je obvykle dokument metodick eho charakteru skutecnost, ze se jedn a,,pouze" o technickou zpr avu a nikoli o r adn y mezin arodn standard, vsak z v ecn eho hlediska nijak nesnizuje v yznam dokumentu TR 3 je napr. ISO/IEC TR Smernice pro spr avu bezpecnosti IT Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 26

28 ISO/IEC/JTC1/SC 27 Security Techniques Orientace { standardizace generick ych metod a technik bezpecnosti IT identikace generick ych bezpecnostnch pozadavk u na IT syst emov e bezpecnostn sluzby v yvoj bezpecnostnch technik a mechanism u { kryptograck e algoritmy pro utajovac, integritn, autentizacn, podepisovac,... sluzby (ne pro aplikace) procedury vztahy mezi bezpecnostnmi komponentami v yvoj bezpecnostnch n avod u (anal yza rizik) v yvoj manazersk ych dokument u a standard u (hodnotc krit eria) Vnitrn struktura WG1: Requirements, security services and guidelines WG2: Security techniques and mechanisms WG3: Security evaluation criteria Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 27

29 Hlavn standardy vydan e ISO/IEC/JTC1/SC 27/WG1 V soucasnosti predevsm rodina standard u ISO/IEC vce viz doporucen jak rdit informacn bezpecnost, resit zvl ad an rizik a jak implementovat opatren v kontextu cel eho syst emu syst emu rzen informacn bezpecnosti. V současnosti celosvětové uznávaný základní standard zajišt ování informační bezpečnosti Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 28

30 Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 Information Security Management System { Requirements denuje pozadavky na funkcionalitu a vlastnosti syst emu spr avy (rzen) informacn bezpecnosti pozadavky na mozn a bezpecnostn opatren vymezuje standard ISO/IEC ISO/IEC je p uvodne britsk y standard BS standard je detailnm popisem pozadavk u, kter e mus / m a ISMS splnit, v origin ale se pouzv a must a shall, pokud ISMS chce standardu vyhov et je nez avisl y na technologii, urcen y pro organizace vsech typ u, velikost a podstat, p usobcch v jak emkoli sektoru (komerce, st atn spr ava, neziskovky), kdekoli ve sv et e Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 29

31 Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 v dodatku standard uv ad seznam cl u opatren denovan ych v ISO/IEC ISO/IEC obsahuje n avody, jak je implementovat Povinn ym pozadavkem je porovnat opatren zvolen a pri zvl ad an rizik proti dodatku 27001, aby byla jistota, ze se na nic nezapomnelo narizuje pouzt jak zdroj n avod u pro volbu a implementaci opatren, nezakazuje pouzit i dalsch zdroj u Seznam cl u a opatren v dodatku nen ch ap an jako upln y, vycerp avajc, podle potreby lze dopl novat dals cle a opatren ISMS organizace lze certikovat na vyhov en ISO/IEC Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 30

32 Rodina standard u ISO/IEC 27000, ISO/IEC 27002:2013 Code of practice for information security management doporucen jak navrhovat, implementovat, udrzovat a vylepsovat opatren prosazujc informacn bezpecnost, pouzv a slova may, should (m uze, mel by) p uvodne britsk y standard BS 7779, pot e standard ISO/IEC 17779, nyn standard ISO/IEC 27002:2013 jde o mezin arodn e uzn avan e nejleps praktiky rzen informacn bezpecnosti je n avodem, jak implementovat certikovateln y ISMS, extern auditor se m uze na odkazovat standard ISO/IEC je kodexem, radami pro budov an bezpecn eho syst emu, obvykl e je deklarovat vyhov en standardu, certikace vyhov en ISO/IEC se ned el a Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 31

33 Rodina standard u ISO/IEC v Standardy, kter e uzce souvis s obsahem predm etu PV017, jsou tabulce v cerven em r amci Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 32

34 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 33

35 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 34

36 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 35

37 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 36

38 Rodina standard u ISO/IEC v ISO/IEC 27045, Draft, Big data security and privacy {Processes Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 37

39 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 38

40 Rodina standard u ISO/IEC v Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 39

41 Rodina standard u ISO/IEC prehled Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 40

42 Prklady dalsch standard u vydan ych... JTC1/SC 27/WG1 ISO/IEC TR 15945, Specication of TTP services to support the application of digital signatures spolecn y standard s doporucenm X.843 ITU-T ISO/IEC TR 18043, System deployment a operations of intrusion detection systems { IDS technick a zpr ava s metodick ym n avodem jak zahrnout IDS do IT infrastruktury ISO/IEC TR 18044, Information security incident management technick a zpr ava s metodick ym n avodem pro spr avu reakce na bezpecnostn incident Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 41

43 Typy standard u vydan ych...jtc1/sc 27/WG2 Orientace { kryptograck e a autentizacn techniky a mechanismy ISO/IEC 9796, 2000{2002, Digital signature schemes giving message recovery ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes ISO/IEC 9798, 1997{2000, Entity Authentication ISO/IEC 10116, 1997, Modes of operation for n-bit block cipher algorithm ISO/IEC 10118, 1998{2000, Hash function ISO/IEC 11770, 1996{1999, Key management ISO/IEC 13888, 1997{1998, Non-repudation ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix ISO/IEC 15946, Cryptographic techniques based on elliptic curves ISO/IEC 18014, 2002, Time stamping services ISO/IEC 18033, Ecryption algorithms Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 42

44 Standard vydan y ISO/IEC/JTC1/SC 27/WG3 ISO/IEC Evaluation criteria for IT security ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements vsechny 3 c asti byly publikovan e v r vce v samostatn e predn asce Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 43

45 Standardy ISO/TC 68 Financial Services Soucasn a struktura TC 68 SC2: Security management a general banking operations { hlavn p usobist e standardizace bezpecnosti IT { WG4 Information security guidelines fo banking { WG6 Framework for IT security for nancial institutions { WG10 Biometric information security { WG11 Encryption algorithm used in banking applications { WG12 Security in retail banking { WG14 Cryptographic syntax scheme for nancial services SC4: Securities and realted nancial instruments SC6: Retail nancial services SC7: Core banking WG2: International bank account number Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 44

46 Evropsk e iniciativy ve standardizaci informacn bezpecnosti Zastresuj CEN a ETSI Hlavn iniciativa { CEN/ISSS, Information Society Standardization System vznik koncem 90. let, uzk a n avaznost na CEN, ETSI, CENELEC cl: zkr acen ISO{doby tvorby ISO standardu (tou je 5 let) zav ad se velmi pruzn y princip prijm an pracovnch (de facto) standard u formou v ysledn ych dokument u standardizacnch workshop u (WS) ustanovovan ych podle potreby, tzv. CEN Workshop Agreements, CWA prklady CEN/ISSS workshop u Electronics Signatures, E-Sign eauthentication Data protection and Privacy, DPP Electronic Commerce,EC,... Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 45

47 NIST Special Publications (SP) SP 800, Computer Security (December 1990-present): NIST's primary mode of publishing computer/cyber/information security guidelines, recommendations and reference materials SP 1800, NIST Cybersecurity Practice Guides (2015-present): Complement the SP 800s; targets specic cybersecurity challenges in the public and private sectors; practical, user-friendly guides to facilitate adoption of standards-based approaches to cybersecurity SP 500, Computer Systems Technology (January 1977-present): A general IT subseries used more broadly by NIST's Information Technology Laboratory (ITL) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 46

48 Standard NIST, rodina SP 800, prklady (SP Special Publication) SP : An Introduction to Computer Security: The NIST Handbook SP : Generally Accepted Principles and Practices for Securing Information Technology Systems SP : Engineering Principles for IT Security SP : Risk Management Guide for Information Technology Systems SP : Electronic Mail Security SP : Building an Inf. Techn. Security Awareness and Training Program SP : Electronic Authentication Guidelines SP : Guide to Intrusion Detection and Prevention Systems (IDPS) SP : Guidelines for Secure Web Services SP : Information Security Handbook: A Guide for Mngrs Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 47

49 Standard ISACA, COBIT COBIT { Control Objectives for Information and related Techn. 34 proces u, 230 rdicch n astroj u v oblastech { v dom en ach Plan and Organize jak m uze IT pomoc organizaci dos ahnout stanoven ych cl u Acquire and Implement identikace pozadavk u na IT a jejich implementace do st avajcch podnikatelsk ych proces u organizace Deliver and Support procesy umoz nujc efektivn b eh syst emu Monitor and Evaluate strategie posuzov an potreb organizace, prok az an, zda st avajcc syst em st ale spl nuje cle, pro kter e byl navrzen y sirs z ab er nez ISO/IEC 27002, dopl nuj se, nekonkuruj si Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 48

50 Standard ISACA, COBIT, detailn eji Pl anov an a organizace (Plan and Organize PO) PO1 Dene a strategic IT plan PO2 Dene the information architecture PO3 Determine technological direction PO4 Dene the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 49

51 Standard ISACA, COBIT, detailn eji Akvizice a implementace (Acquire and Implement AI) AI1 Identify automated solution. AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 50

52 Standard ISACA, COBIT, detailn eji Dod avka a podpora (Deliver and Support DS) DS1 Dene and manage service levels DS2 Manage third-party service DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the conguration. DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 51

53 Standard ISACA, COBIT, detailn eji Monitoring a evaluace (Monitor and Evalue ME ) ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 52

54 Standard ISF, SoGP SoGP { Standard of Good Practice for Information Security sest klcov ych aspekt u Security management { rzen bezpecnosti Critical business applications { provozov an aplikac Computer installations { IT infrastruktura Networks { IT infrastruktura Systems development { v yvoj nov ych aplikac End user environment { prostred koncov ych uzivatel u popisy princip u a cl u, doporucen pokr yvajc implementaci Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 53

55 Pr avn principy pravidla, kter a tvor z aklad urcit eho pr avnho institutu, z akona, pr avnho odvetv nebo pr avnho r adu v pr avnm st ate jsou pr avu imanentn (bytostne vlastn), bez ohledu na to, zda jsou ci nejsou v yslovne vyj adrena v platn ych pr avnch norm ach jsou vcem en e spolecn a pr avu zem s prbuznou kulturou jsou z akladem pr avnho r adu pr avnho st atu mely by b yt symbolick ym a alespo n c astecn ym racion alne pojmov ym vyj adrenm pr ava prirozen eho Pr avn normy (z akony, vyhl asky,... ) mohou b yt zruseny. Pr avn principy zruseny b yt nemohou a nemohou b yt ani vyvr aceny jakoukoli interpretac. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 54

56 Pr avn principy Politikou (v oblasti pr ava) se rozum standard, kter y vytycuje cl, jehoz se m a dos ahnout, zpravidla zlepsen urcit e kvality... Pr avn princip je standard, kter y se m a dodrzovat nikoli proto, ze to pom uze dos ahnout nebo zajistit nejakou ekonomickou, politickou nebo soci aln situaci, kter a se povazuje za z adouc, ale proto, ze je pozaduje spravedlnost, slusnost nebo n ejak a jin a dimenze mor alky. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 55

57 Prklady pr avnch princip u Nemo ultra posse obligatur, k nemozn emu nen nikdo zav az an Lex retro non agit, z akon nep usob zpetne Ignorantia legis non excusat, neznalost z akona neomlouv a Pacta sunt servanda, smlouvy se maj dodrzovat Lex posterior derogat priori, z akon pozd ejs rus z akon drv ejs Lex specialis derogat generali, speci aln uprava rus pr avn upravu obecnou Lex superior derogat inferiori, z akon vyss pr avn sly rus z akon nizs pr avn sly Nullum crimen, nulla poena sine lege, nen zlocinu, nen trestu bez z akona Ne bis in idem, ne dvakr at o tomt ez Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 56

58 Cesk a legislativa souvisejc s informacn bezpecnost Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti ucinnost z akladn principy viz d ale Z akon c. 106/1999 Sb., o svobodn em prstupu k informacm Povinn ymi subjekty, kter e maj podle tohoto z akona povinnost poskytovat informace vztahujc se k jejich p usobnosti, jsou st atn org any, uzemn samospr avn e celky a jejich org any a verejn e instituce. Z akon c. 101/2000 Sb., o ochrane osobnch udaj u osobnm udajem jak akoliv informace t ykajc se urcen eho nebo urciteln eho subjektu udaj u. Subjekt udaj u se povazuje za urcen y nebo urciteln y, jestlize lze subjekt udaj u prmo ci neprmo identikovat zejm ena na z aklade csla, k odu nebo jednoho ci vce prvk u, specick ych pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturn nebo soci aln identitu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 57

59 Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 240/2000 Sb., o krizov em rzen stanovuje p usobnost a pravomoc st atnch org an u a org an u uzemnch samospr avn ych celk u a pr ava a povinnosti pr avnick ych a fyzick ych osob pri prprav e na krizov e situace, kter e nesouvisej se zajist'ov anm obrany Cesk e republiky pred vn ejsm napadenm Z akon c. 365/2000 Sb., o informacnch syst emech verejn e spr avy Ex. vyhl aska c. 529/2006 Sb., o pozadavcch na strukturu a obsah informacn koncepce a provozn dokumentace a o pozadavcch na rzen bezpecnosti a kvality informacnch syst em u verejn e spr avy (vyhl aska o dlouhodob em rzen informacnch syst em u verejn e spr avy) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 58

60 Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 480/2004 Sb., o nekter ych sluzb ach inf. spolecnosti sluzbou informacn spolecnosti se rozum jak akoliv sluzba poskytovan a elektronick ymi prostredky na individu aln z adost uzivatele podanou elektronick ymi prostredky, poskytovan a zpravidla za uplatu; sluzba je poskytnuta elektronick ymi prostredky, pokud je odesl ana prostrednictvm st e elektronick ych komunikac a vyzvednuta uzivatelem z elektronick eho zarzen pro ukl ad an dat Z akon c. 127/2005 Sb., o elektronick ych komunikacch Z akon c. 412/2005 Sb., o ochrane utajovan ych informac a o bezpecnostn zp usobilosti Ex. narzen vl ady c. 522/2005 Sb., kter ym se stanov seznamy utajovan ych informac Ex. vyhl aska c. 523/2005 Sb., o bezpecnosti informacnch a komunikacnch syst em u a dalsch elektronick ych zarzen nakl adajcch s utajovan ymi informacemi Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 59

61 Z akon c. 181/2014 Sbb., o kybernetick e bezpecnosti, ideje Z akon nedot yk a uzivatel u ani poskytovatel u obsahu ve sluzb ach informacn spolecnosti dotcen e org any a osoby v oblasti kybernetick e bezpecnosti jsou subjekty spravujc specick e informacn a komunikacn syst emy specick e = zarazen e do kritick ych a v yznamn ych informacnch a komunikacnch syst em u pro bezpecnost st atu a v ykon spr avy st atu Cl: zajist en bezpecn eho fungov an informacn spolecnosti CR zajist en bezpecn e realizace z akladnho pr ava na informacn sebeurcen prostrednictvm informacnch syst em u, sluzeb a st elektronick ych komunikac nezasahuje do obsahov eho fungov an informacn spolecnosti, ale pouze si klade za cl zabezpecit proti umysln ym nebo nahodil ym kybernetick ym bezpecnostnm incident um informacn kan aly, jimiz clov ek realizuje sv e pr avo na informacn sebeurcen a jimiz st at vykon av a sv a nedistributivn informacn pr ava. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 60

62 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje Stanovuje minim aln pozadavky na standardn zabezpecen kritick e informacn infrastruktury a v yznamn ych informacnch syst em u Zav ad podmnky spolupr ace mezi soukromopr avnm n arodnm dohledov ym pracovist em (n arodn CERT) a vl adnm CERT CERT { Computer Emergency Response Team Syst em kybernetick e bezpecnosti podle z akona zahrnuje Bezpecnostn opatren Detekce kybernetick ych bezpecnostnch ud alost Hl asen kybernetick ych bezpecnostnch incident u Syst em opatren k reakci na kybernetick e bezpecnostn incidenty Cinnost dohledov ych pracovist' (n arodn CERT a vl adn CERT). Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 61

63 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 316/2014 Sb., Vyhl aska o bezpecnostnch opatrench, kybernetick ych bezpecnostnch incidentech, reaktivnch opatrench a o stanoven n alezitost pod an v oblasti kybernetick e bezpecnosti (vyhláška o kybernetické bezpečnosti) stanovuje { obsah a strukturu bezpecnostn dokumentace, { obsah bezpecnostnch opatren a rozsah jejich zaveden, { typy a kategorie kybernetick ych bezpecnostnch incident u, { n alezitosti a zp usob hl asen kybernetick eho bezpecnostnho incidentu, { n alezitosti ozn amen o proveden reaktivnho opatren a jeho v ysledku a { vzor oznamov an kontaktnch udaj u a jeho formu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 62

64 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 317/2014 Sb., Vyhl aska o v yznamn ych informacnch syst emech a jejich urcujcch krit erich stanovuje { urcujc krit eria v yznamn ych informacnch syst em u { v ycet v yznamn ych informacnch syst em u Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 63

65 Obecn e narzen o ochran e osobnch udaj u, OU GPDR, General Data Protection Regulation NA RIZENI EVROPSK EHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochrane fyzick ych osob v souvislosti se zpracov anm osobnch udaj u a o voln em pohybu techto udaj u Plat pro organizace p usobc v v EU vc. pro organizace extern v uci EU, pokud vykon avaj cinnost v EU v pln em znen plat pro organizace s vce nez 250 zamestnanci, mens organizace maj radu v yjimek Nevztahuje na zpracov an OU fyzickou osobou v r amci cinnosti cist e osobn povahy nebo cinnosti prov ad en e v yhradne v dom acnosti, a tedy bez jak ekoliv souvislosti s profesn nebo obchodn cinnost. Nevztahuje na OU zesnul ych osob Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 64

66 B azov e pojmy a denice osobn udaje, personal data, OU vesker e informace o identikovan e nebo identikovateln e fyzick e osob e (subjektu udaj u), kter e lze pouzt pro identikaci subjektu udaj u Identikovateln a fyzick a osoba je osoba, kter a m uze b yt identikov ana prmo nebo neprmo, zejm ena odkazem na identik ator, jako je jm eno, identikacn cslo, udaje o poloze, on-line identik ator nebo jeden nebo vce faktor u specick ych pro fyzick e, fyziologick e, genetick e, ment aln, ekonomick e, kulturn nebo soci aln totoznosti t eto fyzick e osoby jm eno, identikacn cslo, lokacn udaje, st'ov y identik ator nebo jeden ci vce zvl astnch prvk u fyzick e, fyziologick e, genetick e, psychick e, ekonomick e, kulturn nebo spolecensk e identity subjektu na form atu nez alez (fotograe, text,... ) Za urcit ych okolnost jsou OU i adresa IP, barva vlas u, pracovn nebo politick e n azory Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 65

67 B azov e pojmy a denice Za urcit ych okolnost...???,,radn" nen OU,,zrzek" nen OU,,Tisnov" nen OU,,zrzek" z,,tisnova" asi nebudou OU,,zrzek" a,,radn" z,,tisnova" uz OU mozn a mohou b yt zpracov an, processing jak akoliv operace nebo soubor operac s OU nebo soubory OU kter y je prov aden pomoc ci bez pomoci automatizovan ych postup u shrom azd en, zaznamen an, uspor ad an, strukturov an, ulozen, prizp usoben nebo pozm en en, vyhled an, nahl ednut, pouzit, zprstupn en prenosem, sren nebo jak ekoliv jin e zprstupn en, serazen ci zkombinov an, omezen, v ymaz nebo znicen Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 66

68 B azov e pojmy a denice prolov an, profiling jak akoli forma automatizovan eho zpracov an OU spocvajc v jejich pouzit k hodnocen n ekter ych osobnch aspekt u vztahujcch se k fyzick e osobe, zejm ena k rozboru nebo odhadu aspekt u t ykajcch se jejho pracovnho v ykonu, ekonomick e situace, zdravotnho stavu, osobnch preferenc, z ajm u, spolehlivosti, chov an, msta, kde se nach az, nebo pohybu subjekt mus b yt o kazd em prolovacm procesu nad jeho daty drve, nez d a k nemu souhlas pseudonymizace, pseudonymisation zpracov an OU tak, ze jiz nemohou b yt prirazeny konkr etnmu subjektu udaj u bez pouzit dodatecn ych informac, pokud jsou tyto dodatecn e informace uchov av any oddelene a vztahuj se na n e technick a a organizacn opatren, aby bylo zajist eno, ze nebudou prirazeny identikovan e ci identikovateln e fyzick e osob e Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 67

69 B azov e pojmy a denice spr avce, controller fyzick a nebo pr avnick a osoba, org an verejn e moci, agentura nebo jin y subjekt, kter y s am nebo spolecne s jin ymi urcuje ucely a prostredky zpracov an OU spr avce m uze mt (vzdy smluvne v azan ych) vce zpracovatel u spr avce zav ad vhodn a technick a a organizacn opatren, aby zajistil a byl schopen dolozit, ze zpracov an je prov adeno v souladu s GPDR zpracovatel, processor fyzick a nebo pr avnick a osoba, org an verejn e moci, agentura nebo jin y subjekt, kter y zpracov av a OU pro spr avce Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 68

70 B azov e pojmy a denice souhlas, consent jak ykoli svobodn y, konkr etn, informovan y a jednoznacn y projev v ule, kter ym subjekt udaj u d av a prohl asenm ci jin ym zjevn ym potvrzenm sv e svolen ke zpracov an sv ych OU Mlcen, predem zaskrtnut a polcka nebo necinnost nemohou b yt povazov any za souhlas Subjekt udaj u m a pr avo sv uj souhlas kdykoli odvolat. Odvol anm souhlasu nen dotcena z akonnost zpracov an vych azejcho ze souhlasu, kter y byl d an pred jeho odvol anm. porusen zabezpecen OU, personal data breach porusen zabezpecen, kter e vede k n ahodn emu nebo protipr avnmu znicen, ztr ate, zmene nebo neopr avnen emu poskytnut nebo zprstupn en pren asen ych, ulozen ych nebo jinak zpracov avan ych OU Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 69

71 B azov e pojmy a denice zvl astn kategorie OU { Zakazuje se jejich zpracov an vypovdaj o rasov em ci etnick em p uvodu, politick ych n azorech, n abozensk em vyzn an ci lozock em presv edcen nebo clenstv v odborech, a zpracov an genetick ych udaj u, biometrick ych udaj u za ucelem jedinecn e identikace fyzick e osoby a udaj u o zdravotnm stavu ci o sexu alnm zivote nebo sexu aln orientaci fyzick e osoby V yjimky: subjekt udaj u udelil v yslovn y souhlas, zpracov an je nezbytn e pro ucely plnen povinnost a v ykon zvl astnch pr av spr avce nebo subjektu, zpracov an prov ad v r amci sv ych opr avnen ych cinnost, zpracov an je nezbytn e pro urcen, v ykon nebo obhajobu pr avnch n arok u, zpracov an je nezbytn e z d uvod u verejn eho z ajmu v oblasti verejn eho zdrav,... Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 70

72 B azov e pojmy a denice evidence, filing system jak ykoliv strukturovan y soubor OU prstupn ych podle zvl astnch krit eri, at' jiz je centralizovan y, decentralizovan y, nebo rozd elen y podle funkcnho ci zem episn eho hlediska generick y pojem pokr yvajc vsechny metody zach azen s os. udaji Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 71

73 Z asady zpracov an osobnch udaj u { Osobn udaje mus b yt: zpracov av any korektne a z akonn ym a transparentnm zp usobem { z akonnost, korektnost a transparentnost shromazd'ov any pro urcit e, v yslovne vyj adren e a legitimn ucely { ucelov e omezen primeren e, relevantn a omezen e na nezbytn y rozsah ve vztahu k ucelu, pro kter y jsou zpracov av any { minimalizace udaj u presn e a v prpade potreby aktualizovan e { presnost ulozeny ve form e umoz nujc identikaci subjekt u udaj u po dobu ne dels, nez je nezbytn e pro ucely, pro kter e jsou zpracov av any { omezen ulozen zpracov av any zp usobem, kter y zajist n alezit e zabezpecen OU { odpov ednost Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 72

74 Pr ava subjektu udaj u pr avo zskat od spr avce potvrzen, zda OU, kter e se ho t ykaj, jsou ci nejsou zpracov av any, a pokud je tomu tak, m a pr avo je zskat, a k tomu i ucely zpracov an, id prjemc u, info o dob e, po kterou budou OU ulozeny,... pr avo na to, aby spr avce bez zbytecn eho odkladu opravil nepresn e OU, kter e se ho t ykaj Pr avo na v ymaz (pr avo b yt zapomenut) neplat uz ucel, protipr avn zdroj,... ex. v yjimky { verejn y z ajem, obhajoba pr avnch n arok u,... pr avo zskat OU, kter e se ho t ykaj, jez poskytl spr avci, ve strukturovan em, b ezn e pouzvan em a strojov e citeln em form atu, a predat tyto udaje jin emu spr avci Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 73

75 Pr ava subjektu udaj u pr avo neb yt predm etem z adn eho rozhodnut zalozen eho v yhradn e na automatizovan em zpracov an, vcetn e prolov an, kter e m a pro neho pr avn ucinky nebo se ho obdobn ym zp usobem v yznamne dot yk a... Pr avo na ochranu OU nen pr avem absolutnm; mus b yt posuzov ano v souvislosti se svou funkc ve spolecnosti a v souladu se z asadou proporcionality mus b yt v rovnov aze s dalsmi z akladnmi pr avy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 74

76 Spr avce / zpracovatel / dozorov y urad Spr avce vyuzv a pouze ty zpracovatele, kter poskytuj dostatecn e z aruky zaveden vhodn ych technick ych a organizacnch opatren Napr. potvrd urove n zajist en InfSec certik atem ISO Spr avce je odpov edn y za prohresky zpracovatele Jak ekoli porusen zabezpecen OU spr avce bez zbytecn eho odkladu a pokud mozno do 72 hodin od okamziku, kdy se o nem dozvedel, ohl as dozorov emu uradu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 75

77 D ulezit a dokumentace Dokumentace jak organizace vyhovuje GPDR Dokumentace jak organizace zabezpecuje evidenci OU politiky, ISMS,..., idealne certikac ISO/IEC Za kvalitu dokumentace spr avce i zpracovatele odpovd a spr avce Zvl ast e d ulezit e dokumenty V ycet shromazd'ovan ych a zpracov avan ych OU a deklarace ucelu zpracov an Souhlasy se zpracov av anm OU Z aznamy o cinnostech zpracov an OU Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 76

78 Pov erenec pro ochranu osobnch udaj u Data Protection Officer, DPO Role DPO v organizaci se zav ad kdy zpracov an prov ad org an verejn e moci ci verejn y subjekt hlavn cinnosti spr avce nebo zpracovatele spocvaj v operacch zpracov an, kter e kv uli sv e povaze, sv emu rozsahu nebo sv ym ucel um vyzaduj rozs ahl e pravideln e a systematick e monitorov an subjekt u hlavn cinnosti spr avce nebo zpracovatele spocvaj v rozs ahl em zpracov an zvl astnch kategori OU DPO m uze b yt outsourcovan y, sdlen y vce organizacemi,... DPO rad, monitoruje, spolupracuje s dozorov ym org anem Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 77

79 Posouzen vlivu na ochranu osobnch udaj u Data Protection Impact Assessment, DPIA Pokud je pravdepodobn e, ze urcit y druh zpracov an, zejm ena pri vyuzit nov ych technologi, bude s prihl ednutm k povaze, rozsahu, kontextu a ucel um zpracov an bude mt za n asledek vysok e riziko pro pr ava a svobody fyzick ych osob, provede spr avce pred zpracov anm posouzen vlivu zam yslen ych operac zpracov an na ochranu OU Pro DPIA dod av a posudek DPO Seznam druh u operac zpracov an, kter e podl ehaj pozadavku na posouzen vlivu na ochranu OU sestavuje a zverej nuje dozorov y urad Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 78

80 Prklad: Cookies a GDPR Co to jsou cookies? textov e soubory generovan e webov ym serverem a ukl adan e v poctaci prostrednictvm prohlzece ucel: identikace uzivatele, autentizace, charakteristiky uzivatele, relace,... GDPR, cl anek 30 Fyzick ym osob am mohou b yt prirazeny st'ov e identik atory, kter e vyuzvaj jejich zarzen, aplikace, n astroje a protokoly, jako naprklad adresy internetov eho protokolu ci identik atory cookies, nebo jin e identik atory, jako jsou sttky pro identikaci na z aklade r adiov e frekvence. Tmto zp usobem mohou b yt zanech any stopy, kter e mohou b yt zejm ena v kombinaci s jedinecn ymi identik atory a dalsmi informacemi, kter e servery zsk avaj, pouzity k prolov an fyzick ych osob a k jejich identikaci. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 79

81 Prklad: Cookies a GDPR Kdyz cookies mohou identikovat jednotlivce pres jejich zarzen, povazuj se za osobn udaje Ne kazd e cookie je identikacn! Probl emy s cookies z pohledu GDPR Implicitn souhlas s pouzv anm cookies nen dostatecn y, pouh e navstven str anky se nepovazuje za ud elen souhlasu Stejn e tak nen dostatecn ym souhlasem sd elen na str ance By using this site, you accept cookies Mus b yt stejne snadn e souhlas odvolat, jako jej d at, mus b yt poskytnut y mechanismus, jak se jednotlivec m uze vyv azat z nez adouc sluzby cookies (opt-out option) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 80