STUPNICE PRO HODNOCENÍ DOPADU ZPRACOVÁNÍ / INCIDENTU

Podobné dokumenty
Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Dopady GDPR na elektronizaci zdravotnictví

Bezpečnostní politika společnosti synlab czech s.r.o.

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Posuzování na základě rizika

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Obecné nařízení o ochraně osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Politika ochrany osobních údajů

Bezpečnostní politika společnosti synlab czech s.r.o.

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ORGANIZAČNÍ ŘÁD ŠKOLY

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

V Brně dne 10. a

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

SMĚRNICE O BEZPEČNOSTI ICT

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Dopady GDPR a jejich vazby

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ DLE ČL. 13 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ZE DNE 27. DUBNA 2016

Bezpečnostní politika informací SMK

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Nová pravidla ochrany osobních údajů

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

SEMINÁŘ: GDPR - NOVÉ NAŘÍZENÍ EU O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO SPORTOVNÍ SVAZY A FOTBALOVÉ KLUBY

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Technické aspekty zákona o kybernetické bezpečnosti

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Bezpečnost na internetu. přednáška

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Povinnosti osob při zpracování osobních údajů

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Není cloud jako cloud, rozhodujte se podle bezpečnosti

1. Standardní pracovní činnost v prostorách Ortoptiky Dr. Očka Mgr. Martiny Hamplové ve vztahu k nařízení GDPR

Od teorie k praxi víceúrovňové bezpečnosti

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

INFORMAČNÍ MEMORANDUM SPOLEČNOSTI SURFIN TECHNOLOGY S.R. O.

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

ŠPATNÉ PŘÍKLADY IMPLEMENTACE GDPR

Správa stanic a uživatelského desktopu

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Představení služeb Konica Minolta GDPR

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Zákon o kybernetické bezpečnosti

GDPR v sociálních službách

Certifikace pro výrobu čipové karty třetí stranou

GDPR v podmínkách statutárního města Karviné

SMĚRNICE O PROVOZOVÁNÍ KAMEROVÉHO SYSTÉMU (DÁLE JEN "SMĚRNICE")

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

Záznamy o činnostech zpracování

TECHNICKOORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ SPOLEČNOSTI FERRERO

VNITŘNÍ SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ (GDPR)

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

SŽDC M20/MP001 METODICKÝ POKYN PRO ŘÍZENÍ DOKUMENTACE ŘÍDÍCÍCH TECHNICKÝCH AKTŮ SŽDC M20

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Návrh VYHLÁŠKA. ze dne 2014

Bezpečností politiky a pravidla

S GDPR za hranice tradiční ICT bezpečnosti. Petr Stoklasa, AGORA Plus,

Zabezpečení osobních údajů

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

Bezpečnost ICT. Příloha ke Standardu kvality sociální služby Ochrana osobních údajů

GDPR Modelová Situace z pohledu IT

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

Transkript:

Metodika posuzování dopadu zpracování na ochranu osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 na ochranu fyzických osob v souvislosti se zpracováním osobních údajů (tzv. GDPR) Posuzování dopadu zpracování na ochranu osobních údajů vyžaduje Nařízení ve svém Oddílu 3 Posouzení vlivu na ochranu osobních údajů a předchozí konzultace, čl. 35 a 36. Nařízení nedefinuje přesnou metodiku posuzování, pouze požaduje, aby posouzení proběhlo a pokud jeho výsledek určí, že riziko je vysoké a Správce nepřijme opatření k jeho zmírnění, je povinen záměr zpracování předem konzultovat s Dozorovým úřadem. Následující metodika představuje aplikaci jen minimálně upravené (upřesněné) metodiky definované za podobným účelem ve Vyhlášce č. 316/2014 Sb. o kybernetické bezpečnosti. Tato Vyhláška v příloze 2 dává návod, jak hodnotit rizika. K tomu používá funkci riziko = dopad x hrozba (četnost výskytu incidentu) x. Pro hodnocení použijeme následující stupnice nízký dopad střední dopad STUPNICE PRO HODNOCENÍ DOPADU ZPRACOVÁNÍ / INCIDENTU Dopad je v omezeném časovém období a malého rozsahu a nesmí být katastrofický. Rozsah případných škod nepřesahuje a) 10 zraněných osob s hospitalizací po dobu více než 24 hodin nebo b) finanční nebo materiální ztráty do 5 mil Kč nebo závažného zásahu do každodenního života postihujícího nejvýše 250 osob nebo d) doplněk nad rámec Vyhl. 316/2014: dopad se netýká zvláštních kategorií e) doplněk nad rámec Vyhl. 316/2014: dopad neumožňuje s vysokou pravděpodobností předvídat chování nebo pohyb dotčených subjektů údajů Dopad je v omezeném časovém období a omezeném rozsahu. Rozsah případných škod se pohybuje v rozmezí a) 10 mrtvých nebo 11 100 osob s hospitalizací po dobu více než 24 hodin nebo b) finanční nebo materiální ztráty od 5 do 50 mil Kč nebo závažného zásahu do každodenního života postihujícího 251 2 500 osob nebo d) doplněk nad rámec Vyhl. 316/2014: dopad se netýká zvláštních kategorií Strana 1/7

vysoký dopad kritický dopad e) doplněk nad rámec Vyhl. 316/2014: dopad neumožňuje s vysokou pravděpodobností předvídat chování nebo pohyb dotčených subjektů údajů Dopad je omezeného rozsahu, ale trvalý nebo katastrofický. Rozsah případných škod se pohybuje v rozmezí a) od 11 do 100 mrtvých nebo 101 1000 osob s hospitalizací po dobu více než 24 hodin nebo b) finanční nebo materiální ztráty od 50 do 500 mil Kč nebo závažného zásahu do každodenního života postihujícího 2 501 25 000 osob nebo d) doplněk nad rámec Vyhl. 316/2014: dopad se týká zvláštních kategorií e) doplněk nad rámec Vyhl. 316/2014: dopad s vysokou pravděpodobností předvídá chování nebo pohyb dotčených subjektů údajů Dopad je plošný rozsahem, trvalý a katastrofický. Rozsah případných škod se pohybuje v rozmezí a) od 101 do 1000 mrtvých nebo 1001 a více osob s hospitalizací po dobu více než 24 hodin nebo b) finanční nebo materiální ztráty od převyšující 500 mil Kč nebo závažného zásahu do každodenního života postihujícího 2 501 25 000 osob nebo d) doplněk nad rámec Vyhl. 316/2014: dopad se týká zvláštních kategorií e) doplněk nad rámec Vyhl. 316/2014: dopad prakticky s jistotou umožňuje předvídat chování nebo pohyb dotčených subjektů údajů nízká hrozba střední hrozba vysoká hrozba STUPNICE PRO HODNOCENÍ (četnosti) HROZEB Hrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby není častější než jednou za pět let. doplněk nad rámec Vyhl. 316/2014: Hrozba se vyskytuje izolovaně. Hrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od jednoho roku do pěti let. doplněk nad rámec Vyhl. 316/2014: Hrozba se vyskytuje izolovaně. Hrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace hrozby je v rozpětí jednoho měsíce až jednoho roku. Strana 2/7

kritická hrozba doplněk nad rámec Vyhl. 316/2014: Hrozba se vyskytuje s souvislosti s dalšími hrozbami, hromadně, případně i koordinovaně s dalšími hrozbami. Hrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace je častější než jednou za měsíc. doplněk nad rámec Vyhl. 316/2014: Hrozba se vyskytuje s souvislosti s dalšími hrozbami, hromadně, případně i koordinovaně s dalšími hrozbami. nízká střední vysoká kritická STUPNICE PRO HODNOCENÍ ZRANITELNOSTI Zranitelnost neexistuje nebo je zneužití i málo pravděpodobné. Existují kvalitní bezpečnostní opatření, která jsou schopná včas detekovat možné slabiny nebo případné pokusy o překonání opatření. Zranitelnost je málo pravděpodobná až pravděpodobná. Existují kvalitní bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována. Schopnost bezpečnostních opatření včas detekovat možné slabiny nebo případné pokusy o překonání bezpečnostních opatření je omezená. Nejsou známy žádné úspěšné pokusy o překonání bezpečnostních opatření. Zranitelnost je pravděpodobná až vel mi pravděpodobná. Bezpečnostní opatření existují, ale jejich účinnost nepokrývá všechny potřebné aspekty a není pravidelně kontrolována. Jsou známy dílčí pokusy o překonání bezpečnostních opatření. Zranitelnost je velmi pravděpodobná až po víceméně jisté zneužití. Bezpečnostní opatření nejsou realizována anebo je jejich účinnost značně omezena. Neprobíhá kontrola účinnosti bezpečnostních opatření. Jsou známé úspěšné pokusy o bezpečnostních opatření. nízké riziko střední riziko vysoké riziko kritické riziko STUPNICE PRO HODNOCENÍ RIZIK Riziko je považován za přijatelné. Riziko může být sníženo méně náročnými opatřeními nebo, v případě vyšší náročnosti opatření, je riziko přijatelné. Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění. Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. Doporučená organizace hodnocení rizika a vlivy hodné zřetele Oprávněná osoba určí skupina určí skupinu hodnotitelů, kteří jako celek znají všechny důležité aspekty zpracování, možnosti a účinnost bezpečnostních opatření, znají účel a rozsah posuzovaného zpracování osobních údajů. Hodnotitelé (v souladu s doporučením WP 29, dok WP 248 Pokyny pro posuzení vlivu na ochranu osobních a stanovení, zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko pro účely Nařízení 2016/679) při posouzení mimo jiné berou v potaz, zda: a) je uveden systematický zpracování. Přitom přihlíží k povaze, rozsahu, kontextu a účelům zpracování; zda jsou zaznamenány osobní údaje, příjemci a doba zpracování; zda jsou popsány funkční operace zpracování, zda jsou stanoveny prostředky na nichž je zpracování závislé (HW, SW, komunikační kanály, ), zda je zohledněn soulad s definovaným chováním zpracovatelů (např. kodexy, pokyny apod.) b) jsou stanovena opatření k zajištění souladu s požadavky Nařízení, zejména Strana 3/7

a. s požadavkem na přiměřenost a nezbytnost na základě definovaných účelů, zákonnosti, na přiměřenost a minimalizaci zpracovávaných osobních údajů a na omezení doby zpracování. b. s opatřeními za účelem podpory práv subjektů (transparentnost zpracování, přístup subjektu k vlastním osobním údajům, právo na opravu a výmaz, právo na námitku a na ometzení zpracování, sesmluvnění zpracování se zpracovatelem a ochranu údajů při předávání mezinárodním subjektům) c) jsou řízena rizika vzniklá zpracováním pro práva svobody subjektů údajů; zda je známa povaha a původ rizika, jeho dopad, četnost a zpracování, zda jsou známy a určeny možné vlivy na práva a svobody subjektu údajů, zda jsou známy a popsány hrozby vůči zabezpečení zpracování a zda jsou známa a stanovena opatření určeníé k řešení těcho rizik. U každého posuzovaného zpracování (agendy) hodnotitelé napřed vyplní jeho dopad, četnost hrozby a. Následně posoudí kombinovaný vliv všech tří aspektů na konečné riziko. Obecně platí, že vyšší hodnota aspektů by měla převažovat. Tedy například pokud máme střední dopad, nízkou hrozbu a nízkou, mělo by být výsledné riziko střední. Pokud ovšem skupina hodnotitelů na základě relevantních znalostí dojde k názoru, že vliv některého z hodnocených aspektů je dominantní, může zvolit jako určení konečného rizika hodnotu nižší nebo naopak větší, než by odpovídalo prostému součinu všech aspektů. O posouzení rizika se vede u jednotlivých zpracování písemný záznam, který identifikuje nejméně: posuzované zpracování (agendu), hodnotitele, hodnocení dopadu, hrozby a i a výsledné zjištěné riziko. Doporučená forma ochrany zpracování osobních údajů dle zjištěného rizika nízké riziko střední riziko vysoké riziko OSOBNÍ ÚDAJE NA FYZICKÝCH NOSIČÍCH (papír, mikrofiše, apod.) zabezpečení při zpracování V době přítomnosti oprávněného personálu volně v (otevřených) organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) či na policích. V době nepřítomnosti oprávněného personálu v (uzavřených) organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) či policích, místnost uzamčena. podezření na narušení ochrany dat. V době přítomnosti oprávněného personálu volně v (otevřených) organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) či policích. V době nepřítomnosti oprávněného personálu v uzamčených organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.), místnost uzamčena. podezření na narušení ochrany dat. V době přítomnosti oprávněného personálu v uzavřených organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) zvýšené odolnosti (např. plechová skříň s cylindrickým zámkem). V době nepřítomnosti oprávněného personálu v uzamčených organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) zvýšené odolnosti (nap. plechová skříň s cylindrickým zámkem), místnost uzamčena. podezření na narušení ochrany dat. Strana 4/7

kritické riziko Osobní údaje jsou udržovány v místnosti s řízeným vstupem (vstup povolen pouze oprávněnému personálu), odkud jsou vynášeny pouze v případě dalšího zpracování, vždy jednotlivě a po skončení zpracování jsou okamžitě vraceny zpět. Místnost je osazena dveřmi se zvýšenou odolností a vstup je osazen zámkem vyšší třídy odolnosti (s klíči chráněného profilu). V době přítomnosti oprávněného personálu v uzamčených organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.) V době nepřítomnosti oprávněného personálu v uzamčených organizačních schránách (skříních, šanonech, lístkovnicích, boxech apod.), místnost uzamčena. podezření na narušení ochrany dat. Je ověřována účinnost tohoto postupu. nízké riziko OSOBNÍ ÚDAJE V ELEKTRONICKÉ PODOBĚ zabezpečení při zpracování Jednoduchá jednofaktorová autentizace uživatele (např. standardní Microsoft přihlášení), postačuje jednoduché heslo. Obměna hesla vyžadována jednou za tří měsíce. Jsou sledovány a zaznamenávány neúspěšné pokusy o přihlášení, při překročení povoleného počtu pokusů je účet zablokován. Tyto záznamy jsou namátkově kontrolovány. Aktivity uživatelů jsou alespoň na základní úrovni (přihlášení a odhlášení, ze které stanice) logovány a logy jsou udržovány po dobu umožňující účinnou reakci na incident. Data nejsou šifrována. Data jsou chráněna standardními firewally s podporou od výrobce HW a SW. Infrastruktura je rozdělená do logických síťových zón. Servery vnitřní sítě jsou odděleny od uživatelských segmentů a DMZ síť je oddělena pomocí firewallů. znalost tohoto postupu. střední riziko Platí to co nízke riziko a rozšíření o: Jsou sledovány a zaznamenávány neúspěšné pokusy o přihlášení, při překročení povoleného počtu pokusů je účet zablokován. Tyto záznamy jsou pravidelně kontrolovány. Konstrukce hesel je prováděná minimálne 8 znaků, jedno velke pismeno, jedna číslice a jeden speciální znak. Aktivity uživatelů jsou alespoň na základní úrovni (přihlášení a odhlášení, ze které stanice) logovány a logy jsou udržovány po dobu umožňující účinnou reakci na incident. Logy jsou pravidelně vyhodnocovány v bezpečnostním dohledu. Jsou pravidelně nasazovány aktualizované verze SW OS a aplikací vč záplat. Servery a na nich provozovaný SW jsou evidovány ve znalostní databázi, kde je evidovaná verze SW komponety a OS serveru. Pravidelně alespoň jednou týdne je zkoumána OS, aplikace, FW, přepínačů a směrovačů oproti znalostní databázi a alespoň jednou měsíčně je plánováno nasazení změn bezpečnostních balíčků. Na koncových stanicích a serverech je nasazen antivir, antispam a personální FW. Strana 5/7

Je kontrolován nainstalováný SW a prováděno pravidelné skenování nastavení koncových zařízení. Data nejsou šifrována, výjimku tvoří disky přenosných stanic (notebooků). Jsou prováděny pravidelné penetračni testy z Internetu a ze vnitřku organizace. znalost tohoto postupu. vysoké riziko Platí to co pro střední a rozšířené o: Dvoufaktorová autentizace uživatele, je vyžadováno silné heslo. Obměna hesla vyžadována jednou měsíčně. Jsou sledovány a zaznamenávány neúspěšné pokusy o přihlášení, při překročení povoleného počtu pokusů je účet zablokován. Tyto záznamy jsou pravidelně kontrolovány a vyhodnocovány. Aktivity uživatelů jsou rozsáhle logovány (přihlášení a odhlášení, ze které stanice, jaké aktivity provádí, četnost přihlášení a doba) a logy jsou udržovány po dobu umožňující účinnou reakci na incident. Logy jsou systematicky, pravidelně vyhodnocovány.na podstatných aplikacích a aktivitách je vyžadována autorizace. Akce v aplikaci jsou logovány (prohlížení dat, modifikace, vytváření a mazání), data jsou zasílána do bezpečnostního monitoringu. kritické riziko Data jsou šifrována dostatečně silnou šifrou. Na mobilních zařízeních je naistalován specializovany SW pro lokalizaci zařízení. Je aplikován SW pro ochranu OS a aplikace (Pesonal FW, IPS/HIDS, Antivir, kontrola patch managementu). Jsou řízena připojení externích datových nosičů a jejich použití podléhá autorizaci. účinnost tohoto postupu. Osobní údaje jsou udržovány v místnosti s řízeným vstupem (vstup povolen pouze oprávněnému personálu), zařízení nejsou zapojeny do lokalní sítě a nejsou žádným prostředkem připojeny k Internetu či podobné síti. Doufaktorovová autentizace, systém autentizace a autorizace využívá biometrické mechanismy pro zvýšení úrovně zabezpečení. Jsou sledovány a zaznamenávány neúspěšné pokusy o přihlášení, při překročení povoleného počtu pokusů je účet zablokován a automaticky je vyvolán poplach v místě s trvalým dohledem obsluhy. Záznamy o aktivititách uživatele jsou zaznamenány do logů a jsou automaticky kontrolovány. Aktivity uživatelů jsou plně logovány (přihlášení a odhlášení, ze které stanice, jaké aktivity provádí, četnost přihlášení a doba, jaké změny uživatel dělal, aktivity uživatele v aplikaci) a logy jsou udržovány po dobu umožňující účinnou reakci na incident. Logy jsou systematicky, automaticky vyhodnocovány, vybočení ze standardního chování uživatele vyvolává poplach. Na podstatných aplikacích a aktivitách je vyžadována autorizace. Data jsou šifrována dostatečně silnou šifrou. Na mobilních zařízeních je naistalován specializovany SW pro lokalizaci zařízení. Je aplikován SW pro ochranu OS a aplikace (Pesonal FW, IPS/HIDS, Antivir, kontrola patch managementu). Jsou Strana 6/7

řízena připojení externích datových nosičů a jejich použití podléhá autorizaci. Plošné exporty dat jsou možné pouze v rámci pravidla čtyř očí. účinnost tohoto postupu. Je ověřována účinnost tohoto postupu. Strana 7/7

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář