| |
Bezpečnostný projekt v súvislosti so zákonom č. 428/2002 Z.z.
o ochrane osobných údajov v znení neskorších predpisov (najmä
zákona č. 90/2005 Z.z.)
Úvod - prečo bezpečnostný projekt?
 Zákon
č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších
predpisov (najmä zákona č. 90/2005 Z.z.), ktorý nadobudol
účinnosť 1.9.2002 (resp. posledná novela 1.5.2005), vyvoláva
diskusie a starosti v organizáciách, ktoré v rámci svojej
činnosti spracúvajú osobné údaje. Aby sa tieto organizácie
vyhli možným sankciám za porušenie tohto zákona (podľa § 49
až do výšky 10 mil. Sk), musia prevádzkovatelia už fungujúcich
informačných systémov podľa § 52 ods. (1) a § 55 ods. (8)
svoje informačné systémy uviesť do súladu s týmto zákonom
do šiestich mesiacov odo dňa jeho účinnosti, t.j. najneskôr
do 28.2.2003 (resp. podľa poslednej novely do 31.10.2005).
Oznámenie písomného poverenia
zodpovednej osoby Úradu
na ochranu osobných údajov SR je
podľa § 19 ods. (5) a § 55 ods. (2) potrebné vykonať do 30.6.2005
- stiahnite si príslušný formulár
»
Za bezpečnosť
osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ
tým, že ich chráni pred náhodným, ako aj nezákonným poškodením
a zničením, náhodnou stratou, zmenou, nedovoleným prístupom
a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými
formami spracúvania.
Na tento
účel je podľa § 15 tohto zákona potrebné prijať a zaviesť
primerané technické, organizačné a personálne bezpečnostné
opatrenia zodpovedajúce spôsobu spracúvania osobných údajov,
pričom pri splnení podmienok vymenovaných v § 15 ods. (2)
je potrebné tieto bezpečnostné opatrenia prijať a zaviesť
vo forme bezpečnostného projektu informačného systému, alebo
v rozsahu bezpečnostných smerníc.
<top>
Náš cieľ
Spoločnosť
MITAS, s.r.o. ponúka spoluprácu pri vypracovaní bezpečnostného
projektu informačného systému, alebo v rozsahu bezpečnostných
smerníc v zmysle zákona č. 428/2002 Z.z. o ochrane osobných
údajov v znení neskorších predpisov, pri zohľadnení rozsahu
spracúvania osobných údajov a typu Vašej organizácie (výrobný
podnik, obchodná spoločnosť, finančná inštitúcia, orgán štátnej
správy atď.).
Súčasťou
nami vypracovaného bezpečnostného projektu je aj poradenstvo
a súbor aktivít na zabezpečenie celkového súladu Vašej organizácie
so všetkými relevantnými ustanoveniami tohto zákona, t.j.
nielen s § 15 a § 16, ale komplexne s § 5 - § 32.
Pre organizácie,
v ktorých už bol bezpečnostný projekt vypracovaný, ponúkame
vykonanie auditu bezpečnosti informačného systému v zmysle
§ 15 ods. (4) a (5), nezávislé posúdenie výstupov vykonaného
bezpečnostného projektu a posúdenie celkového súladu Vašej
organizácie so zákonom č. 428/2002 Z.z. o ochrane osobných
údajov v znení neskorších prepisov (t.j. komplexne s § 5 -
§ 32), vrátane návrhu aktivít na odstránenie zistených nedostatkov.
<top>
Popis a postup
Bezpečnostný
projekt informačného systému v zmysle zákona č. 428/2002 Z.z.
o ochrane osobných údajov v znení neskorších predpisov, podľa
špecifikácie uvedenej v § 16 obsahuje najmä:
 bezpečnostný
zámer,
analýzu
bezpečnosti informačného systému,
bezpečnostné
smernice.
V súlade
s týmito požiadavkami, ako aj s naším cieľom poskytnúť Vám
taktiež poradenstvo a súbor aktivít na zabezpečenie celkového
súladu Vašej organizácie so všetkými relevantnými ustanoveniami
zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení
neskorších prepisov (t.j. komplexne s § 5 - § 32), bude nami
vypracovaný bezpečnostný projekt pozostávať z nasledujúcich
fáz:
(po kliknutí na obrázok sa otvorí diagram vo formáte Adobe
Acrobat, prípadne si tento diagram môžete stiahnuť na
svoje PC kliknutím na obrázok pravým tlačítkom myši s použitím
funkcie "Save Target As...")
Fáza 1. Plánovanie projektu, zabezpečenie
podpory zo strany vedenia organizácie, vytvorenie základných
pravidiel spolupráce, vytvorenie pracovných tímov na oboch
stranách a príprava podrobného projektového plánu atď.
Fáza 2. Popis prostredia spracúvania
údajov, zmapovanie informačného systému, identifikácia nedostatkov
v oblasti informačnej bezpečnosti. Zmapovanie údajov spracúvaných
vašou organizáciou a identifikovanie spracúvania jednotlivých
agend osobných údajov.
Fáza 3. Overenie celkového súladu Vašej organizácie
so všetkými relevantnými ustanoveniami zákona č. 428/2002
Z.z. o ochrane osobných údajov v znení neskorších prepisov
(t.j. komplexne s § 5 - § 32) a návrh aktivít na odstránenie
zistených nedostatkov.
Fáza 4. Analýza rizík informačného systému, ohodnotenie
informačných aktív z hľadiska ich nedostupnosti, straty, prezradenia
alebo zmeny / modifikácie. Ohodnotenie hrozieb ktoré môžu
na informačné aktíva pôsobiť (napr. neautorizované použitie
aplikácie, zlyhanie hardvérového zariadenia, zlyhanie ľudského
faktora, požiar, krádež atď.).
Fáza 5. Návrh primeraných bezpečnostných opatrení,
ktoré minimalizujú bezpečnostné riziká informačného systému
a odstraňujú identifikované nedostatky. Tieto opatrenia budú
navrhnuté v súlade s medzinárodne uznávanými normami a postupmi
pre bezpečnosť informačných systémov BS 7799 / ISO 17799:2000
a ISO/TR 13335.
Navrhnuté bezpečnostné opatrenia budú rozdelené medzi jednotlivé
zodpovedné osoby a môžu obsahovať odporúčania na zavedenie
nových opatrení a technológií, ako aj odporúčania na zlepšenie
existujúcich riešení (napr. zmena konfiguračných nastavení
a pod.).
Fáza 6. Návrh implementačného plánu
zavádzania navrhnutých bezpečnostných opatrení. Návrh bezpečnostných
smerníc, medzi ktoré patrí aj smernica "Ochrana osobných
údajov".
Fáza 7. Záverečná správa a prezentácia
výsledkov bezpečnostného projektu pre manažment a zainteresovaných
pracovníkov organizácie.
<top>
Prínosy pre Vás
zabezpečenie
súladu s platnou legislatívou SR, špecificky so zákonom č.
428/2002 Z.z. o ochrane osobných údajov v znení neskorších
predpisov,
zvýšenie
úrovne bezpečnosti používaných informačných technológií vo
Vašej organizácii,
zavedenie
primeraných bezpečnostných opatrení na zabezpečenie ochrany
dôvernosti, integrity a dostupnosti spracúvaných údajov a
systémov prevádzkovaných Vašou organizáciou v súlade s medzinárodne
uznávanými normami a postupmi pre bezpečnosť informačných
systémov, ako sú napr. štandardy BS 7799 / ISO 17799:2000
a ISO/TR 13335.
Celková dĺžka trvania projektu
Bezpečnostný
projekt informačného systému - obvykle od 2 týždňov vyššie,
v závislosti na veľkosti organizácie, rozsahu a spôsobu spracúvania
osobných údajov a zložitosti informačných systémov.
Pre organizácie,
v ktorých už bol bezpečnostný projekt vypracovaný, odhadujeme
vykonanie auditu bezpečnosti informačného systému, nezávislé
posúdenie výstupov už vykonaného bezpečnostného projektu a
posúdenie celkového súladu organizácie so zákonom č. 428/2002
Z.z. o ochrane osobných údajov v znení neskorších prepisov,
vrátane návrhu aktivít na odstránenie zistených nedostatkov
- od 2 prac. dní vyššie.
Výstupy projektu
Každá z
vyššie uvedených fáz bezpečnostného projektu (pozri časť Popis
a postup) bude zakončená príslušným dokumentom / správou.
Ďalšie informácie a ďalší postup
Na vypracovanie
cenovej ponuky a odhad dĺžky trvania bezpečnostného projektu
potrebujeme zistiť základné informácie o stave spracúvania
osobných údajov vo Vašej organizácii.
V prípade
Vášho záujmu o spoluprácu nám e-mailom
zašlite žiadosť o zaslanie dotazníka. Po vyplnení tohoto
dotazníka Vám zašleme konkrétnu cenovú ponuku, vrátane ukážkových
verzií výstupov bezpečnostného projektu.
Poznámka:
Vzhľadom na aktuálne rozpracované bezpečnostné projekty a
pomerne vysoký počet žiadostí o vypracovanie cenovej ponuky
nemôžeme zaručiť okamžité reagovanie na Vaše požiadavky.
<top>
|
|
