Právní aspekty bezpečnostního testování a monitoringu sítí Jan Kolouch

Podobné dokumenty
KYBERNETICKÁ KRIMINALITA VYBRANÉ SKUTKOVÉ PODSTATY TRESTNÝCH ČINŮ VE VZTAHU KE KYBERNETICKÉ KRIMINALITĚ

Hlava II: Trestní odpovědnost

Trestněprávní ochrana informačních systémů v České republice

Stát v kyberprostoru I

Preventivní akce CSIRT.CZ v roce Pavel Bašta

Mýty a pověry o právu zaměstnance na soukromí v počítači svého zaměstnavatele. JUDr. Tomáš Sokol 2012

Masivní prostup informačních technologií do běžného života každého z nás (zejména Internetu),


Současné formy kybernetické kriminality a možnosti jejich postihu

Student vysoké školy, autorská práva a informační kriminalita

TRESTNÉ ČINY PROTI ŽIVOTNÍMU PROSTŘEDÍ HLAVA VIII. TR. ZÁKONÍKU

PRÁVNÍ MANUÁL. programu AKTIVITY. (monitoring a sledování aktivit na PC)

ČVUT, fakulta strojní, Národní vzdělávací fond

8. funkční období. (Navazuje na sněmovní tisk č. 297 z 6. volebního období PS PČR) Lhůta pro projednání Senátem uplyne 19.

Rozdílová tabulka návrhu předpisu ČR s legislativou ES/EU

ZÁKON ČÁST PRVNÍ. Změna trestního zákoníku. Čl. I

Trestní odpovědnost a povinnost mlčenlivosti znalce. Karel Cibulka Nejvyšší soud, trestní kolegium

Kybernetická kriminalita a kybernetická bezpečnost. Václav Stupka

Trestněprávní limity výkonu účetní profese. Jan Molín katedra finančního účetnictví a auditingu Vysoká škola ekonomická v Praze

3/5.1.7 TRESTNÉ ČINY V PROVOZU NA POZEMNÍCH KOMUNIKACÍCH

Řízení přístupu k dokumentům a monitorování aktivit zaměstnanců. Pavel Krátký Technical & Development Manager COSECT

Způsoby ukončení spisů příslušná ustanovení trestního řádu

Sledování, odposlech a další formy monitoringu zaměstnanců

Pochybení v perioperační péči

Právní klasifikace online kriminality a prevence. Doc. JUDr. Tomáš Gřivna, Ph.D. Mgr. et Mgr. Kateřina Lukášová

10. funkční období. Návrh zákona, kterým se mění zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů, a další související zákony

Název vzdělávacího materiálu

NÁVYKOVÉ LÁTKY A ZÁKON

Teorie i praxe trestního postihu deliktů v oblasti veřejných zakázek. JUDr. Tomáš Sokol 2013

Parlament se usnesl na tomto zákoně České republiky:

185 Znásilnění. (5) Příprava je trestná.

DOPADY WHISTLEBLOWINGU DO TRESTNÍHO PRÁVA

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

OBSAH. Úvod...11 Seznam zkratek...13 TRESTNÍ ZÁKONÍK...15

OBSAH. Úvod Seznam zkratek TRESTNÍ ZÁKONÍK... 15

SPOLEČNÁ TISKOVÁ ZPRÁVA

Odposlech a záznam telekomunikačního provozu a další zvláštní důkazy a postupy

Úmluva o kybernetické kriminalitě (soulad české právní úpravy s ustanoveními Úmluvy) JUDr. Tomáš Gřivna, Ph.D.

Obsah. Zákon č. 40/2009 Sb., trestní zákoník Obsah. Předmluva...11

KYBERNETICKÁ KRIMINALITA OCHRANA DAT A INFORMACÍ V ČESKÉM PRÁVNÍM ŘÁDU

Kdo pro duševní poruchu v době spáchání činu nemohl rozpoznat jeho protiprávnost nebo ovládat své jednání, není za tento čin trestně odpovědný.

Alfréd chemik řešení

ŘIDIČSKÝ PRŮKAZ KTERÉ ŘIDIČSKÉ PRŮKAZY OPRAVŇUJÍ NA ÚZEMÍ ČESKÉ REPUBLIKY K ŘÍZENÍ. Řidičský průkaz vybraná ustanovení zákona č. 361/2000 Sb.

VYBRANÁ TÉMATA 1/2014

minulost, současnost, budoucnost

Prezentace na konferenci CIIA. Ochrana osobních údajů

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Soukromí a bezpečnost v IT, ochrana dat na internetu

Jde pouze o prezentaci mých názorů, které nejsou právně závazné a mají sloužit pouze jako podklad (resp. informace) pro Vaši činnost v kyberprostoru.

Anotace: Tato prezentace je zaměřena na trestní právo. Zahrnuje výklad a test k opakování látky.

Firemní data mimo firmu: z pohledu zákoníku práce. JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové

Metodické sdělení k poskytování úplného znění územně plánovací dokumentace

Univerzita Karlova v Praze Evangelická teologická fakulta

Obsah XIII XV. Použité zkratky zákonů Úvod. Kapitola první Ochrana softwaru 1

Audit hodnocení VKS z pohledu zákona 418/2011Sb.

Úplné znění příslušných částí trestního zákoníku s vyznačením navrhovaných změn. 168 Obchodování s lidmi

Úplné znění trestního zákoníku s vyznačením změn. Domácí vězení

PŘÍLOHY Tabulky Množství držených drog a orientační ceny drog. Tabulka 1 Přehled vývoje orientačních cen drog v v ČR 1

Prof. JUDr. Jaroslav Fenyk, Ph.D., DSc.

Právní aspekty vymahatelnosti pohledávek obcemi

Bude kryptoanalýza v Česku trestána vězením? Vlastimil Klíma, kryptolog,

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Odhalování a vyšetřování kybernetické kriminality

Zákon o odpovědnosti za přestupky a řízení o nich. (ve vztahu k územním samosprávným celkům)

PRŮKAZNOST V ÚČETNICTVÍ - KREATIVITA A ODPOVĚDNOST. David Bauer, ředitel odboru 28 Regulace a metodika účetnictví, Ministerstvo financí

Otázka: Tresty a trestní řízení. Předmět: Základy společenských věd. Přidal(a): zuza. Trestní řízení

záměrem navrhované úpravy je umožnění pacientům užívajících konopí pro léčebné účely pěstování malého množství rostliny konopí pro vlastní potřebu

BOZP ALKOHOL A NÁVYKOVÉ LÁTKY

- Novela zákona č. 20/1966 Sb. o péči o zdraví lidu provedená zákonem č. 260/2001 Sb.

Praktické zkušenosti z prověřování a vyšetřování úvěrových a pojistných podvodů

OBSAH. Úvodní informace Definice pojmů

Trestněprávní a občanskoprávní odpovědnost zastupitelů. Mgr. Martin Pelikán

Pokyn ředitele odboru systému bezpečnosti provozování dráhy

FINVISION, s.r.o.; Šunychelská 1159, Bohumín Nový Bohumín, IČ:

Trestná činnost úředních osob a její projevy ve veřejné správě

Trestními sankcemi se rozumějí tresty a ochranná opatření. Ty mohou být uloženy pouze na základě zákona a pachateli nelze uložit takový trest, jenž

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Stanovisko č. 12/2012 aktualizace říjen 2017

140 odst.1 Vražda 145 Těžké ublížení na zdraví. 141 Zabití 146 Ublížení na zdraví

251/2016 Sb. ZÁKON. ze dne 15. června o některých přestupcích. Předmět úpravy

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

ZÁKON ze dne 15. června 2016 o některých přestupcích. Parlament se usnesl na tomto zákoně České republiky:

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Způsoby ukončení spisů příslušná ustanovení trestního řádu

GDPR A JEHO IMPLEMENTACE DO KRAJSKÉHO ÚŘADU

CZ.1.07/1.5.00/ Zkvalitnění výuky prostřednictvím ICT. Právo veřejné Trestní právo VY_32_INOVACE_10_13.

Všeobecné smluvní podmínky užívání

Český olympijský výbor. Směrnice o ochraně osobních údajů v rámci kamerového systému

Příloha č. 1. Vzor - Souhlas zaměstnance se zpracováváním osobních údajů

Test poměrnosti cíle a prostředku

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

RÁMCOVÉ ROZHODNUTÍ RADY. ze dne 29. května o zvýšené ochraně trestními a jinými sankcemi proti padělání ve spojitosti se zaváděním eura

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Poskytování informací a ochrana osobních údajů Právní klinika ombudsmanské praxe II. podzim 2015

Žádost o poskytnutí dotace z rozpočtu Olomouckého kraje na rok 2019

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Městské státní zastupitelství v Praze. Náměstí 14. října 2188/9

Interní předpis Dětského krizového centra. Telefonická krizová pomoc. služba/péče V. 2. Ochrana práv uživatele

Aktuality trestní odpovědnosti pr. osob v České republice

Transkript:

Právní aspekty bezpečnostního testování a monitoringu sítí Jan Kolouch

Veškeré moje prezentace vyjadřují pouze mé názory získané na základě zkušeností v oblasti odhalování, vyšetřování kybernetické trestné činnosti; mého působení na Policejní akademii ČR v Praze, FIT ČVUT, CESNET, CZ.NIC, jakož i účasti na mezinárodních konferencích, fórech, aj. Jde pouze o prezentaci mých názorů, které nejsou právně závazné a mají sloužit pouze jako podklad (resp. informace) pro Vaši činnost v kyberprostoru.

Monitoring ICT

Zajištění komunikace (poštovní, či elektronické aj.) Obecně zakázáno (viz 182 TZK), ale existují výjimky. - Např. 88 či 88a TŘ - 68, 71 zákona o PČR - Aj. Doložení oprávněnosti účelu zásahu do práv zajištěných listinou základních práv a svobod Test proporcionality

je posuzuje-li se konflikt ustanovení právního řádu, sledující ochranu ústavně zaručeného práva či veřejného zájmu, s jiným základním právem či svobodou. Tato obecná zásada zahrnuje tři kritéria posuzování přípustnosti zásahu : 1. princip vhodnosti (způsobilosti naplnění účelu), dle něhož musí být příslušné opatření vůbec schopno dosáhnout zamýšleného cíle, jímž je ochrana jiného základního práva nebo veřejného statku; 2. princip potřebnosti, dle něhož je povoleno použití pouze nejšetrnějšího - ve vztahu k dotčeným základním právům a svobodám - z více možných prostředků; 3. princip přiměřenosti (v užším smyslu), dle kterého újma na základním právu nesmí být nepřiměřená ve vztahu k zamýšlenému cíli, tj. opatření omezující základní lidská práva a svobody nesmějí, jde-li o kolizi základního práva či svobody s veřejným zájmem, svými negativními důsledky přesahovat pozitiva, která představuje veřejný zájem na těchto opatřeních.

Individualizovaný monitoring: Pokud statistické (anonymizované) údaje naznačují porušování právních povinností, respektive práv jiné osoby zaměstnanec byl předem informován o možnosti takového monitoringu Obsah e-mailu vs. Hlavička Pracovní vs. soukromé e-maily

Mechanismy a opatření soužící k omezení trestní odpovědnosti právnické osoby Interní předpisy Etický kodex Code of Conduct Corporate Governance Rules Pravidla tzv. whistle-blowingu Pravidla pro přijímání darů a pozorností Monitoring Kamery na pracovišti Kontrola firemní elektronické pošty Kontrola listovních zásilek na pracovišti Odposlech a záznam telefonických hovorů na pracovišti Uvedené procesy musejí být mimo jiné v souladu se zákonem o ochraně osobních údajů.

Veřejnoprávní úprava jeden ze subjektů je v nadřazeném postavení a převažují zde tzv. kogentní právní normy Soukromoprávní Úprava právní subjekty mají navzájem rovné postavení. Stát do těchto vztahů zasahuje minimálně. (Dispoziční zásada).

Občansko právní odpovědnost Vyžadují-li to okolnosti případu nebo zvyklosti soukromého života, je každý povinen počínat si při svém konání tak, aby nedošlo k nedůvodné újmě na svobodě, životě, zdraví nebo na vlastnictví jiného. 2909 a násl. OZ Pokud škůdce, způsobí poškozenému újmu, úmyslným porušením dobrých mravů, je povinen ji nahradit; vykonává-li však své právo, je škůdce povinen škodu nahradit, jen sledoval-li jako hlavní účel poškození jiného. 2912 odst. 1 OZ Nejedná-li škůdce, jak lze od osoby průměrných vlastností v soukromém styku důvodně očekávat, má se za to, že jedná nedbale. V této souvislosti je třeba připomenout, že ten kdo škodu způsobil (škůdce), je povinen škodu nahradit a to bez ohledu na své zavinění v případech stanovených zvlášť zákonem.

Úmluva o kyberkriminalitě (Council of Europe ETS No. 185, 23.11.2001/1.12.2013) nezákonný přístup nezákonné odposlouchávání narušování dat narušování systémů zneužití prostředků počítačové padělání počítačový podvod Výroba, distribuce, získávání a držení dětské pornografie na datových nosičích. Dodatkový protokol k Úmluvě o kyberkriminalitě

230 Neoprávněný přístup k počítačovému systému a nosiči informací (1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (3) Odnětím svobody na šest měsíců až tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 nebo 2 a) v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, nebo b) v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat. (4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) způsobí-li takovým činem značnou škodu, c) způsobí-li takovým činem vážnou poruchu v činnosti orgánu státní správy, územní samosprávy, soudu nebo jiného orgánu veřejné moci, d) získá-li takovým činem pro sebe nebo pro jiného značný prospěch, nebo e) způsobí-li takovým činem vážnou poruchu v činnosti právnické nebo fyzické osoby, která je podnikatelem. (5) Odnětím svobody na tři léta až osm let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo b) získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu.

231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (1) Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv podle 182 odst. 1 písm. b), c) nebo trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části, nebo b) počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo jiné majetkové hodnoty nebo zákazem činnosti. (2) Odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo b) získá-li takovým činem pro sebe nebo pro jiného značný prospěch. (3) Odnětím svobody na šest měsíců až pět let bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu.

(1) Kdo a) uzavřeného listu nebo jiné písemnosti při poskytování poštovní služby nebo přepravované jinou dopravní službou nebo dopravním zařízením, b) bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. (2) Stejně bude potrestán, kdo v úmyslu způsobit jinému škodu nebo opatřit sobě nebo jinému neoprávněný prospěch písemnosti, telegramu, telefonního hovoru nebo

(3) Odnětím svobody na šest měsíců až tři léta nebo zákazem činnosti bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) spáchá-li takový čin ze zavrženíhodné pohnutky, c) způsobí-li takovým činem značnou škodu, nebo d) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch. (4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako úřední osoba, b) způsobí-li takovým činem škodu velkého rozsahu, nebo c) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu. (5) poštovních služeb, c) obsaženou v poštovní zásilce nebo dopravovanou dopravním zařízením anebo zprávu, bude potrestán odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti. (6) Odnětím svobody na tři léta až deset let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 5 škodu velkého rozsahu, nebo b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.

Další možnosti Okolnosti vylučující protiprávnost: Svolení poškozeného ( 30 TZK) svolení musí dát pouze oprávněná osoba, jde o svolení vážné, dobrovolné, určité, srozumitelné a nevyvolané lstí, svolení je dáno osobou schopnou učinit závazný projev a je dáno osobou před činem nebo současně s ním. Přípustné riziko ( 31 TZK) v souladu s dosaženým stavem poznání a informacemi; v době rozhodování o dalším postupu; v rámci zaměstnání, povolání, postavení nebo funkce; společensky prospěšnou; při níž dochází k ohrožení nebo porušení zájmu chráněného trestním zákoníkem; jestliže společensky prospěšného výsledku nelze dosáhnout jinak (subsidiarita rizika). Respektování principu proporcionality

Nastavení vhodných pravidel pro monitoring ICT - pravidla užívání ICT, - pravidla přihlašování k počítači, - pravidla nakládání s přístupovými hesly a povinnost jejich utajení a oznámení skutečnosti, že došlo k jejich kompromitaci - zákaz přístupu třetí osoby k počítači nebo k přihlášenému uživatelskému účtu - zákaz logování jiné osoby pod cizím účtem - povinnost odhlašovat se při nepřítomnosti - zákaz instalace či modifikace SW - předávací protokol potvrzující stav HW a SW - pravidla užívání e-mailu a Internetu - stanovení povolených mimopracovních aktivit, včetně specifikace zakázaného chování - monitoring hlaviček e-mailové korespondence - web traffic (site and time) monitoring - informování zaměstnanců o odpovědnosti ohledně porušení právních předpisů - seznámení zaměstnanců s monitoringem a vnitřním předpisem (písemné prohlášení zaměstnance o seznámení se spředpisem) Opatření modifikovat vzhledem k náplni pracovní činnosti, povaze zpracovávaných dat, aj. - zamezení využívání výpočetní techniky pro osobní potřebu - znepřístupněné USB porty, možnost vypalování na CD a DVD, - Zamezení komunikace přes SKYPE, aj. - Zákaz přístupu na konkrétní stránky

Důvody monitoringu ICT bezpečnostní (odhalování úniku a průniku škodlivych dat), ekonomické (produktivita, motivace zaměstnanců, pracovní kázeň). V ČR cca. 250 000 000 hodin ročně tráví zaměstnanci nepracovními činnostmi, odhadovaná ztráta až 75 000 000 000 Kč ročně (2 % HDP). Pracovní morálka a IT 46 % pracovní doby hrál zaměstnanec Solitaire, 80 % pracovní doby si pracovnice městského úřadu trénovala strategické myšlení hraním Age of Empires, 106 % (počítala si i přesčasy) pracovní doby strávila administrativní pracovnice státní instituce chatováním, pouze 4 % pracovní doby prokazatelně odpracoval webmaster velké společnosti v průběhu 1 měsíce, 45 % pracovní doby měl člověk, který má v popisu práce cely den pracovat s PC, vypnuty počítač. Facebook. Farmičky, Mafie, výherní automaty Zdroj: Prezentace Markéty Románkové na Odborné konferenci IIR: IT Security, 15.-16.5.2012 Máte IT zabezpečené i proti právníkům?

Kvalitně a precizně nastavená IT policy může značně eliminovat, či redukovat střet s právními normami. Primárně je třeba pozornost věnovat oblastem: osobních údajů a ochrany soukromí citlivých či důvěrných informací poskytnutých v obchodní styku autorských práv trestně právní odpovědnosti (fyzické i právnické osoby) obchodních sdělení (SPAM) Neexistuje jedno pravidlo, vzor, matice, aplikovatelná pro každou společnost a každou situaci.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář