Bezpečnost informací a právní požadavky Brno, 12. prosince 2013
Právní prostředí v ČR Stávající í stav Vezmeme-li v úvahu, jaký - s prominutím - maglajz, vzniká v českém právním systému kvůli permanentním změnám jak z dílny zákonodárců, tak z dílny Ústavního soudu, je samotné zorientování se v tom, která že verze je platná právě nyní, téměř heroický úkol. Tolik citát z publikace Všechno je jinak aneb Co nám neřekli o důchodu, euru a budoucnosti autorů Pikory a Šichtařové, GRADA Publishing a.s., 2011, ISBN 978-80- 247-4207-6. Management informační bezpečnosti 2
Právo na informace Je základním motivem veškerého informatického snažení a je řešeno š zákonem. Zákon č. 106/1999 Sb. řeší svobodný přístup k informacím Změna: 101/2000 Sb. Změna: 159/2000 Sb. Změna: 39/2001 Sb. Změna: 413/2005 Sb. Změna: 61/2006 Sb. Změna: 110/2007 Sb. Změna: 32/2008 Sb. Změna: 254/2008 Sb. Změna: 274/2008 Sb. Změna: 123/2010 Sb. Změna: 227/2009 Sb. Změna: 375/2011 Sb. Změna: 167/2012 Sb. Management informační bezpečnosti 3
Informační systémy veřejné správy (ISVS) Požadavky zákona č. 365/2000 Sb. o informačních systémech veřejné ř správy a jeho novely -zákona č. 81/2006 Sb. Management informační bezpečnosti 4
Zákon č. 81/2006 Sb. a č. 365/2000 Sb., o ISVS 5a Dlouhodobé řízení í informačních č systémů ů veřejné ř správy (1) Orgány veřejné správy vytvářejí a vydávají informační koncepci, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. K provedení 5a odst. 1 až 3 zákona byla vypracována vyhláška č. 529/2006 Sb. 5b Bezpečnost informačních systémů veřejné správy (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům. Management informační bezpečnosti 5
Vyhláška č. 529/2006 Sb. o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy 4 Dlouhodobé cíle v oblasti řízení bezpečnosti (1) Orgán veřejné správy v informační koncepci stanoví podle 2 odst. 1 písm. d) dlouhodobé cíle, kterých chce dosáhnout v oblasti řízení bezpečnosti informačních systémů veřejné správy; těmito cíly jsou vždy - a) bezpečnost dat, která jsou v těchto systémech zpracovávána, - b) bezpečnost technických a programových prostředků podle 2 písm. a) zákona, - c) bezpečnost služeb, které jsou prostřednictvím těchto systémů poskytovány. (2) Pro dosažení cílů podle odstavce 1 orgán veřejné správy v informační koncepci stanoví požadavky na bezpečnost informačních systémů veřejné správy. (3) Orgán veřejné správy v informační koncepci stanoví plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění. Management informační bezpečnosti 6
Ochrana osobní údajů Požadavky zákona č. 101/2000 Sb., který je základním právním předpisem upravujícím ochranu osobních údajů a činnost Úřadu pro ochranu osobních údajů (ÚOOÚ) ÚOOÚ Úřad pro ochranu osobních údajů http://www.uoou.cz/uoou.aspx Management informační bezpečnosti 7
Zákon č. 101/2000 Sb., o ochraně osobních údajů 4 Vymezení pojmů 6 8 j) správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona, Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Management informační bezpečnosti 8
Zákon č. 101/2000 Sb., o ochraně osobních údajů 12 Přístup subjektu údajů kinformacím (1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.... (4) Povinnost správce poskytnout informace subjektu údajů upravenou v 12 může za správce plnit zpracovatel. 13 Povinnosti osob při ř zabezpečení č osobních údajů ů (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu p k osobním údajům, k jejich j změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Management informační bezpečnosti 9
Jak má subjekt, který zpracovává OÚ, postupovat? V první řadě je povinností správce nebo zpracovatele vyhodnotit rizika iik a stanovit prostředky a způsoby ochrany osobních údajů Identifikuje kategorie osobních údajů a stanoví účel jejich zpracování U citlivých údajů zváží nezbytnost zpracování V případě že sám nezpracovává, musí určit vztah správce vs. zpracovatel Přijme opatření a určí formu zdokumentování Nastaví proces přístupu subjektů k údajům Splní oznamovací povinnost vůči Úřadu, případně zprovozní vlastní registr Oznámí Úřadu provoz kamerového systému se záznamem Management informační bezpečnosti 10
Oblasti veřejné správy, kde dochází ke zpracování OÚ Přestupková agenda Matrika a evidence osob Mzdy a personalistika zaměstnanců úřadu Místní a správní poplatky (např. psi, užívání veřejného prostranství, odpady, atd.) Územní řízení a souhlasy Stavební povolení, kolaudační rozhodnutí Pronájem bytů, budov a pozemků Správa hřbitovů Pečovatelská služba, domovy důchodců, Knihovny (evidence čtenářů) Další (městská policie, místní zpravodaje, ) Management informační bezpečnosti 11
Další relevantní zákony Management informační bezpečnosti 12
Další zákony (119/2007 Sb.) Dne 24. 5. 2007 nabyl účinnosti zákon č. 119/2007 Sb., kterým se mění Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ů ve znění ě pozdějších předpisůř ů Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů nahradil Zákon č. 148/1998 Sb.,, o utajovaných skutečnostech, který pozbyl platnosti dnem 31. prosince 2003 Změna: 119/2007 Sb. Změna: 177/2007 Sb. Změna: 296/2007 Sb. Změna: 32/2008 Sb. Změna: 250/2008 Sb. Změna: 41/2009 Sb. Změna. 227/2009 Sb. Změna. 281/2009 Sb. Změna: 124/2008 Sb., 126/2008 Sb. Změna: 255/2011 Sb. (od. 21.7.2011) NBÚ Národní bezpečnostní č íúřad http://www.nbu.cz/cs/ Management informační bezpečnosti 13
Další zákony (480/2004 Sb.) Zákon č. 480/2004 Sb., o některých službách informační bezpečnosti Tento zákon upravuje v souladu s právem Evropských společenství odpovědnost a práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení. Zákon mimo jiné upravuje odpovědnost poskytovatele t služeb (providera) za obsah informací poskytovaných na internetu. Provider nebude podle návrhu zákona odpovědný za obsah webových stránek, nebude mít tedy povinnost jejich obsah aktivně monitorovat. Pokud se však dozví o protiprávní p povaze obsahu stránek (rozsudek soudu), bude mít povinnost stránky odstranit, respektive znepřístupnit. Zákon dále reguluje nevyžádanou elektronickou inzerci, spam, a povoluje pouze obchodní sdělení podle takzvaného systému opt-in in, tedy pouze s výslovným souhlasem adresáta. Nevyžádaná sdělení návrh zákona zakazuje. Smyslem této úpravy je posílit ochranu soukromí občanů. Za zasílání nevyžádaných obchodních sdělení, spamu, navrhuje zákon sankci ve výši až 10 000 000 Kč ukládanou Úřadem na ochranu osobních údajů. Návrh též přesněji vymezuje problematiku informačních povinností při nákupu zboží přes internet. Dodavateli se například ukládá povinnost elektronicky potvrdit přijetí objednávky, nově se stanoví i pravidla možnosti odstoupení od smlouvy ze strany spotřebitele například v případě nedostatečných informací ze strany dodavatele. Management informační bezpečnosti 14
Další zákony (190/2009 Sb.) Geneze zákona o archivnictví: (odspoda nahoru) Zákon č. 167/2012 Sb., novela zákona č. 190/2009 Sb. Zákon č. 190/2009 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů ve znění pozdějších předpisů Zákon č. 499/2004 Sb., o archivnictví a spisové službě ao změně některých zákonů ruší Zákon 343/1992 Sb., o archivnictví a další novely 27/2000 Sb., 120/2001 Sb., 107/2002 Sb. a 320/2002 Sb. mění a doplňuje Zákon č. 97/1974 Sb., o archivnictví Management informační bezpečnosti 15
Další zákony (227/2000 Sb.) Zákon č. 227/2000 Sb., o elektronickém podpisu Dne 15. dubna 2010 nabyla účinnosti novela zákona č. 227/2000 Sb., o elektronickém podpisu (č. 101/2010 Sb.). Elektronický podpis jsou elektronické identifikační údaje autora (odesílatele) elektronického dokumentu, připojené k němu. Zaručený elektronický podpis je elektronický podpis v takové formě, která, zpravidla kryptografickými metodami, zaručuje i integritu dokumentu a autentizaci podepsaného. Zaručený elektronický podpis dokumentu zajišťuje: autenticitu lze ověřit původnost (identitu subjektu, kterému patří elektronický podpis), integritu lze prokázat, že po podepsání nedošlo k žádné změně, soubor není úmyslně či neúmyslně poškozen, nepopiratelnost p autor nemůže tvrdit, že podepsaný p elektronický dokument nevytvořil (např. nemůže se zříct vytvoření a odeslání výhružného dopisu), může obsahovat časové razítko, které prokazuje datum a čas podepsání dokumentu. Management informační bezpečnosti 16
Evropská unie - příklad Úřední věstník EU ze dne 18.11.2011 Prováděcí nařízení komise EU č. 1179/2011 - stanovení technické specifikace pro on line systémy sběru dat Doporučené normy ISO/IEC 27001 s úplným hodnocením rizik ISO/IEC 27002 stanovení opatření, zvládání incidentů ISO/IEC 27033 bezpečnost počítačové sítě 2.1.7 Bezpečnost infrastruktury fyzická, sítí, OS a www, klienta 2.13.1 DMZ a FW 2.13.5 LAN a. seznam přístupů na port zařízení L2 (switch) b. zablokování nepoužitých portů zařízení L2 (switch) c. realizace DMZ ve VLAN d. zakázán trunking na volných portech zařízení L2 Management informační bezpečnosti 17
ISP odpovědnost a kybernetická kriminalita Management informační bezpečnosti 18
ISP Odpovědnost ISP dle platné legislativy - pojem ISP (vymezení dle zákona č. 480/2004 Sb., dělení dle typu poskytovaných služeb hosting, caching, přenos dat) - pojem odpovědnosti z pohledu práva - odpovědnost ISP za obsah přenášených a ukládaných informací, koncepce safe harbor -předpoklady, podmínky a limitace vzniku odpovědnosti ISP - filehostingové služby boj autorských svazů proti těmto modelům podnikání, - žaloby na zákaz poskytování služeb, které mohou vést k porušování autorských práv - blokace webových stránek ze strany poskytovatelů připojení Praktické zkušenosti očima poskytovatelů služeb - odpovědnost za obsah poskytnutý uživateli a za obsah nelegálně získaný a umístěný na server poskytovatele - odpovědnost za uveřejněné ř ě éinformace Management informační bezpečnosti 19
Internetové služby Rozhodovací praxe soudů v oblasti internetových služeb - služby poskytující autorsky chráněný obsah v judikatuře - žaloby na blokaci webových stránek ze strany poskytovatelů připojení -rozhodné právo a jurisdikce v prostředí internetu (řízení vztahů na internetu) Kybernetické útoky a kybernetická trestná činnost - současné č aspekty kybernetické ké kriminality i - pojem kybernetických útoků - postup orgánů činných v trestním řízení při odhalování kybernetické trestné činnosti Management informační bezpečnosti 20
Univerzitní prostředíaisms Management informační bezpečnosti 21
Univerzity a bezpečnostní politika -1 Správa osobních dat studentů materiály související s přijímacím řízením zdravotní stav studentů hodnocení jednotlivých studijních výsledků ročníkové a diplomové práce zaměstnávání studentů na technických místech Správa osobních dat zaměstnanců univerzity interní dokumenty správa software (licence, vlastní SW) autorská práva a ochranné známky ekonomická data To jsou dostatečné důvody pro vytvoření bezpečnostní politiky univerzity! Management informační bezpečnosti 22
Univerzity a bezpečnostní politika - 2 Objektová a přístupová bezpečnost studijní oddělení oddělení pro vědeckou činnost odbor (útvar) ICT sekretariáty ústavů Zahraniční oddělení Cíle bezpečnostníč politiky definování zásad managementu bezpečnosti způsob řízení definováním rolí s pravomocemi a zodpovědností pojmenování východisek pro hlavní zásady a řešení informační bezpečnosti působení na zvyšování bezpečnostního povědomí zaměstnanců a studentů Management informační bezpečnosti 23
Finanční požadavky na zavedení ISMS pro univerzitu Převzato z příspěvku ě BEZPEČNOSTNÍ POLITIKA UNIVERSITY (SECURITY POLICY OF UNIVERSITY) autorů ů Dagmar Brechlerové a Michala Moravce z České zemědělské univerzity, uveřejněno ve sborníku mezinárodní konference UNINFOS 2006 - Univerzitné informačné systémy. http://uninfos.ukf.sk/documents/zbornik_uninfos2006.pdf Management informační bezpečnosti 24