Návrh

VYHLÁŠKA

Úradu na ochranu osobných údajov Slovenskej republiky

z ............ 2013

o rozsahu a dokumentácii bezpečnostných opatrení

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 20 ods. 3 zákona č. ......../2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:

§ 1

Predmet úpravy

Táto vyhláška upravuje podrobnosti o rozsahu a dokumentácii bezpečnostných opatrení na ochranu informačných systémov, v ktorých sú spracúvané osobné údaje dotknutých osôb.

§ 2

Vymedzenie niektorých pojmov

Na účely tejto vyhlášky sa rozumie

a)technickými opatreniami systém fyzickej a informačno-technologickej ochrany informačného systému,

b)personálnymi opatreniami systém ochrany informačného systému pred zlyhaním ľudského faktora,

c)organizačnými opatreniami systém koordinácie technických opatrení, personálnych opatrení, prípadne ďalších opatrení prevádzkovateľa zameraných na ochranu informačného systému,

d)objektom budova alebo iný stavebne alebo inak ohraničený priestor, v ktorom sa nachádzajú chránené priestory,

e)chráneným priestorom pracovisko určené na spracúvanie osobných údajov oprávnenými osobami prevádzkovateľa,

f)okolím systému prostredie, v ktorom je informačný systém umiestnený a z ktorého pre informačný systém vyplývajú riziká,

g)aktívami najmä objekty, hardvér, softvér, osobné údaje, kvalifikované osoby a ďalšie prvky informačného systému, ktoré prevádzkovateľ považuje za dôležité,

h)bezpečnostným incidentom akýkoľvek spôsob narušenia bezpečnosti informačného systému prevádzkovateľa,

i)hrozbou možná príčina bezpečnostného incidentu,

j)bezpečnostným rizikom pravdepodobnosť, že hrozba využije zraniteľnosť aktív, čím nepriaznivo ovplyvní dôvernosť, integritu alebo dostupnosť spracúvaných osobných údajov, ako aj vážnosť dopadu využitia takejto zraniteľnosti,

k)dôvernosťou osobných údajov záruka ich prístupnosti výlučne oprávneným osobám,

2

l)integritou osobných údajov záruka ich celistvosti a neporušenosti,

m)dostupnosťou osobných údajov záruka, že osobné údaje sú na požiadanie oprávnenej osobe k dispozícii,

n)zvyškovým rizikom riziko, ktoré po prijatí bezpečnostných opatrení na zníženie alebo elimináciu rizík ostalo nepokryté,

o)identifikátorom reťazec alfanumerických alebo iných znakov, ktoré jednoznačne identifikujú osobu oprávnenú na spracúvanie osobných údajov; identifikátorom je napríklad prihlasovacie meno a heslo,

p)identifikáciou jednoznačné určenie identity oprávnenej osoby prostredníctvom identifikátora,

q)autentizáciou proces overenia totožnosti oprávnenej osoby podľa požadovanej miery záruky na princípe porovnania identifikátora s hodnotou uloženou v informačnom systéme,

r)autorizáciou priradenie používateľských práv k oprávnenej osobe, ktoré nadväzuje na jej úspešnú identifikáciu a autentizáciu,

s)prepojením s verejne prístupnou počítačovou sieťou priame (počítač – internet) alebo nepriame (počítač – lokálna sieť – internet) spojenie infomačného systému s verejne prístupnou počítačovou sieťou; informačný systém sa považuje za prepojený s verejne prístupnou počítačovou sieťou aj vtedy, ak je s ňou spájaný príležitostne.

§ 3

Účel, rozsah a dokumentácia bezpečnostných opatrení

(1) Účelom prijatia bezpečnostných opatrení je vytvorenie funkčného, efektívneho a z hľadiska finančnej náročnosti optimálneho systému ochrany osobných údajov. Povinnosť prevádzkovateľa prijať primerané bezpečnostné opatrenia podľa § 19 ods. 1 zákona sa vzťahuje na každý informačný systém.

(2) Bezpečnostné opatrenia určujú záväzné pravidlá spracúvania osobných údajov, ktoré zabezpečujú primeranú úroveň ochrany informačných systémov z hľadiska ich bezpečnosti, spoľahlivosti a funkčnosti, ako aj z hľadiska zachovania dôvernosti, integrity a dostupnosti spracúvaných osobných údajov. Rozsah bezpečnostných opatrení zodpovedá najmä bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.

(3) Bezpečnostné opatrenia prijme prevádzkovateľ v rozsahu zodpovedajúcom konkrétnym podmienkam spracúvania osobných údajov, pričom prihliada najmä na dôvernosť a dôležitosť spracúvaných osobných údajov, na riziká spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému a na potenciálne dopady bezpečnostných incidentov, najmä na počet dotknutých osôb a mieru ohrozenia ich súkromného a rodinného života.

(4) Prevádzkovateľ dokumentuje prijaté bezpečnostné opatrenia prehľadne a jednoznačne, pričom rozlišuje použitie automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Dokumentácia prijatých bezpečnostných opatrení (ďalej len „dokumentácia“) popisuje celý proces spracúvania osobných údajov od ich získavania po likvidáciu. Za zhodu obsahu dokumentácie so skutočným stavom zodpovedá prevádzkovateľ.

3

(5) Rozsah dokumentácie zodpovedá najmä bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania. Dokumentácia môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované.

(6) Zameranie bezpečnostných opatrení je uvedené v Prílohe č. 1; tým nie je dotknutá povinnosť prevádzkovateľa postupovať podľa § 19 ods. 1 zákona.

§ 4

Základná dokumentácia

(1) Ak prevádzkovateľ spracúva osobné údaje v informačnom systéme, ktorý nie je prepojený s verejne prístupnou počítačovou sieťou, pričom nejde o spracúvanie osobitných kategórií osobných údajov podľa § 13 zákona, okrem povinností vyplývajúcich zo zákona priebežne dokumentuje aj kontrolné činnosti zamerané na dodržiavanie bezpečnosti informačného systému a bezpečnostné incidenty. Povinnosti prevádzkovateľa ustanovené v § 19 ods. 1 a 5 zákona tým nie sú dotknuté.

(2) Dokumentácia podľa odseku 1 obsahuje najmä

a)písomnú zmluvu podľa § 8 zákona, ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa,

b)písomné záznamy o poučení oprávnených osôb podľa § 21 zákona,

c)písomné poverenie zodpovednej osoby podľa § 23 zákona, ak prevádzkovateľovi taká povinnosť vznikla,

d)písomné záznamy o kontrolnej činnosti prevádzkovateľa zameranej na dodržiavanie bezpečnosti informačného systému podľa § 5 ods. 2 písm. d),

e)písomné záznamy o zistených bezpečnostných incidentoch a písomné záznamy o postupoch, ktorými prevádzkovateľ zabezpečil obnovenie bezpečnosti systému.

§ 5

Bezpečnostná smernica

(1) Povinnosť zdokumentovať bezpečnostné opatrenia v bezpečnostnej smernici sa vzťahuje na prevádzkovateľa, ktorý spracúva osobné údaje v informačnom systéme podľa § 19 ods. 2 zákona.

(2) Bezpečnostná smernica obsahuje najmä

a)popis technických, organizačných a personálnych opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,

b)rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb,

c)rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov,

d)spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,

e)postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.

4

(3) Účelom bezpečnostných opatrení podľa odseku 1 a 2 je najmä

a)neoprávneným osobám znemožniť akýkoľvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami určenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosičmi osobných údajov,

b)oprávneným osobám prevádzkovateľa zabezpečiť prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poučení podľa § 21 zákona; ak to automatizované prostriedky spracúvania umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času vstupu osobných údajov, ktorých sa vstup týkal, zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,

c)zabezpečiť odolnosť automatizovanej časti informačného systému proti škodlivým kódom (napríklad počítačový vírus) a nežiaducej modifikácii systému, ako aj zabezpečiť pravidelné a bezpečné zálohovanie spracúvaných osobných údajov.

§ 6

Bezpečnostný projekt

(1) Povinnosť vypracovať bezpečnostný projekt sa vzťahuje na prevádzkovateľa, ktorý spracúva osobné údaje v informačnom systéme podľa § 19 ods. 3 zákona.

(2) Bezpečnostný projekt obsahuje najmä

a)názov informačného systému, na ktorý sa vzťahuje,

b)bezpečnostný zámer,

c)analýzu bezpečnosti informačného systému,

d)bezpečnostnú smernicu.

(3) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti. Bezpečnostný zámer obsahuje najmä

a)formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,

b)špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v infomačnom systéme a spôsob ich využitia,

c)vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,

d)vymedzenie hraníc určujúcich množinu zvyškových rizík.

(4) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s vymedzením rozsahu jeho odolnosti a zraniteľnosti. Analýza bezpečnosti obsahuje najmä

a)kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva infomačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb pre dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení na elimináciu alebo minimalizáciu vplyvu rizík a s vymedzením súpisu nepokrytých rizík,

5

b)použitie bezpečnostných štandardov1) a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardami, metódami a prostriedkami.

(5) Na bezpečnostnú smernicu sa vzťahujú ustanovenia § 5 ods. 2 a 3.

§ 7

Spoločné ustanovenie k bezpečnostným opatreniam

Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov.

§ 8

Účinnosť

Táto vyhláška nadobúda účinnosť 1. apríla 2013.

1) Napríklad STN ISO/IEC 27001, STN ISO/IEC 27002, Výnos Ministerstva financií Slovenskej republiky č. 312/2010 o štandardoch pre informačné systémy verejnej správy.

6

Príloha č. 1

k vyhláške č. ......../2012 Z. z.

ZAMERANIE BEZPEČNOSTNÝCH OPATRENÍ

1.Technické opatrenia zamerané na fyzickú ochranu informačného systému

1.1Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. poplachový systém narušenia objektu, protipožiarny systém)

1.2Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, zábrany v podobe prepážok, mreží alebo presklenia)

1.3Umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)

1.4Bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)

1.5Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)

1.6Zariadenie na likvidáciu fyzických nosičov osobných údajov (napr. zariadenie na skartovanie listín)

2.Technické opatrenia zamerané na informačno-technologickú ochranu informačného systému

2.1Ochrana pred neoprávneným prístupom

2.1.1Šifrová ochrana obsahu dátových nosičov

2.1.2Pravidlá prístupu tretích strán k informačnému systému, ak k takémuto prístupu dochádza

2.2Riadenie prístupu oprávnených osôb

2.2.1Identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme

2.2.2Zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému

2.3Ochrana proti škodlivému kódu

2.3.1Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete

2.3.2Ochrana pred nevyžiadanou elektronickou poštou

2.3.3Používanie legálneho a prevádzkovateľom schváleného softvéru

2.3.4Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete

2.4Sieťová bezpečnosť

2.4.1Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje, s verejne prístupnou počítačovou sieťou

2.4.2Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej počítačove siete

2.4.3Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (napr. firewall)

2.4.4Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam)

2.4.5Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok)

2.5Zálohovanie

2.5.1Test funkcionality dátového nosiča zálohy

2.5.2Vytváranie záloh s vopred zvolenou periodicitou

2.5.3Test obnovy informačného systému zo zálohy

2.5.4Bezpečné ukladanie záloh

2.6Likvidácia osobných údajov a dátových nosičov

2.6.1Bezpečné vymazanie osobných údajov z dátových nosičov

2.6.2Zariadenie na likvidáciu dátových nosičov osobných údajov

2.7Aktualizácia operačného systému a programového aplikačného vybavenia

3.Personálne opatrenia

3.1Písomné poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi

3.1.1Poučenie o právach a povinnostiach vyplývajúcich zo zákona a zodpovednosti za ich porušenie

7

3.1.2Vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh

3.1.3Určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov

3.1.4Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi

3.1.5Vymedzenie zodpovednosti za porušenie zákona

3.2Poučenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov)

3.3Oboznámenie oprávnených osôb s bezpečnostnými smernicami

3.4Vzdelávanie oprávnených osôb (napr. právna oblasť, oblasť informačných technológií)

3.5Postup pri ukončení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti)

4.Organizačné opatrenia

4.1Vedenie zoznamu aktív a jeho aktualizácia

4.2Písomné poverenie zodpovednej osoby podľa § 23 zákona, ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb

4.3Riadený prístup oprávnených osôb k osobným údajom

4.3.1Kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)

4.3.2Správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)

4.3.3Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb

4.3.4Správa hesiel

4.3.5Vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, práceneschopnosti, ukončenia pracovného alebo obdobného pomeru)

4.4Organizácia spracúvania osobných údajov

4.4.1Pravidlá spracúvania osobných údajov v chránenom priestore

4.4.2Nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby

4.4.3Režim údržby a upratovania chránených priestorov

4.4.4Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá

4.4.4.1Záväzné pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti

4.4.4.2Záväzné pravidlá používania automatizovaných prostiedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti

4.4.4.3Záväzné pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovednosti

4.5Likvidácia osobných údajov

4.5.1Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)

4.6Bezpečnostné incidenty

4.6.1Postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení

4.6.2Evidencia bezpečnostných incidentov a použitých riešení

4.6.3Postup pri riešení jednotlivých typov bezpečnostných incidentov

4.6.4Identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov

4.6.5Záväzné postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)

4.6.6Postup pri poruche, údržbe alebo oprave automatizovaných prostiedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)

4.7Kontrolná činnosť

4.7.1Kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informačnému systému)

8

4.7.2Informovanie oprávnených osôb o kontrolnom mechanizme,2) ak je u prevádzkovateľa zavedený (rozsah kontroly a spôsoby jej uskutočňovania)

2) Čl. 11 zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov.