Konzultačná činnosť, bezpečnostné projekty 428/2002

Bezpečnostný projekt k ochrane osobných údajov.

Dňa 3. júla 2002 bol schválený zákon č. 428/2002 Z.z. o ochrane osobných údajov, ktorý upravuje ochranu osobných údajov fyzických osôb pri ich spracovaní, zásady spracovania a v nadväznosti na to práva, povinnosti a zodpovednosť subjektov.
Podľa § 15, ods. 2 zákona je prevádzkovateľ, ktorý spracováva osobitné kategórie údajov, povinný prijať primerané technické, organizačné a personálne opatrenia vo forme bezpečnostného projektu informačného systému a zabezpečiť jeho vypracovanie za účelom ochrany osobných údajov pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Bezpečnostný projekt je potrebné vypracovať v súlade s ustanovením § 15 a § 16 predmetného zákona v takom rozsahu, aby v dostatočnej miere zabezpečoval ochranu osobných údajov v ňom vedených.
Bezpečnostný projekt musia vypracovať všetci prevádzkovatelia informačných systémov prepojených na verejnú počítačovú sieť (internet). Túto povinnosť majú aj prevádzkovatelia systémov, v ktorých sa spracúvajú osobitné kategórie osobných údajov. § 15, ods.2 zákona Ide najmä o rasový a etnický pôvod, svetonázor, členstvo v politických stranách, údaje týkajúce sa zdravia a pohlavného života.
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na minimalizáciu hrozieb pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Spracúva sa v súlade so základnými pravidlami bezpečnosti informačného systému, vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami.

V zmysle zákona o ochrane údajov bezpečnostný projekt obsahuje:

- bezpečnostný zámer
- analýzu bezpečnosti informačného systému – podľa technickej normy STN / ISO 13335
- bezpečnostné smernice

Bezpečnostný zámer a analýza bezpečnosti informačného systému majú v zásade trvalú platnosť a po dobu používania projektu sa nemenia.
Autori projektu garantujú, že najnižší stupeň bezpečnosti uvedený v projekte postačuje na splnenie povinností určených zákonom. Ak subjekt nesplňuje minimálny štandard, v projekte je zapracovaný časový plán, v ktorom tento štandard splní.

Bezpečnostný zámer špecifikuje požiadavky na bezpečnosť informačného systému, ktoré požaduje zadávateľ od riešiteľa bezpečnostného projektu, opisuje stupeň citlivosti spracovávaných údajov.

Obsahuje:

  • formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení
  • špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia
  • vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti
  • vymedzenie hraníc určujúcich množinu zvyškových rizík (ide o riziká, ktoré nie je možné odstrániť alebo len veľmi draho).

Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti z hľadiska možného útoku na dôvernosť, zabezpečenie ochrany pred neoprávneným prístupom zo strany nepovolaných osôb (hackerov, vlamačov – počítačových vírusov, akejkoľvek forme odposluchu a pod.), integritu (ochrana údajov proti ich poškodeniu, zmene, zmazaniu, zničeniu) a dostupnosť (zabezpečenie proti výpadkom napájania, prírodným katastrofám a iným havarijným stavom systému).

Obsahuje:

  • kvalitatívnu analýzu rizík schopných narušiť bezpečnosť alebo funkčnosť informačného systému a tým dôvernosť, integritu a dostupnosť spracúvaných osobných údajov; ďalej sa uvádza aj rozsah možného rizika, návrhy protiopatrení, ako aj súpis nepokrytých rizík
  • použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; posúdenie zhody navrhnutých opatrení s použitými štandardmi, metódami a prostriedkami.

Analýzu bezpečnosti informačného systému vypracovávame podľa technickej normy STN/ISO 13335.

Bezpečnostné smernice - spresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému . Je to základný dokument(manuál) pre všetkých užívateľov informačného systému. Obsahuje súhrn základných pravidiel, ktoré treba rešpektovať pre zachovanie bezpečného chodu informačného systému v praxi.

Bezpečnostné smernice obsahujú:

  • opis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach
  • rozsah oprávnení a opis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie pri prístupe do informačného systému
  • rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov
  • spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému
  • postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení a možností efektívnej obnovy stavu pred haváriou.

Spoločnosť CBsoft má bohaté skúsenosti s vypracovaním bezpečnostného projektu, o čom svedčia referencie.
Naša spoločnosť dáva záruku na kvalitu bezpečnostného projektu, jeho súlad so zákonom.
Naším cieľom nie je len bezpečnostný projekt spracovať, ale zároveň pomôcť zákazníkovi vyriešiť túto problematiku ako celok. Chceme, aby bezpečnostný projekt nezostal len projektom na papieri, ale aby pre zákazníka znamenal skutočný prínos pri ochrane osobných údajov spoločnosti.


 
 
webdesign: CB soft s.r.o. - Internetové obchody, www stránky, webdesign, CRM, ochrana osobných údajov. | index | Powered by Joomla!