Bezpečnostný projekt
Z OOU
Čo treba povedať hneď na úvod, keď sa začíname zaoberať bezpečnosťou osobných údajov v informačnom systéme, je to že za ňu zodpovedá prevádzkovateľ a sprostredkovateľ. A ako hovorí zákon o ochrane osobných údajov chránia ich pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek neprípustnými formami spracúvania. Určite nie je nepodstatný príkaz, ktorý vyplýva z paragrafu 15 odsek 1 zákona o ochrane osobných údajov: prijať primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä:
a)použiteľné technické prostriedky,
b)rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému,
c)dôvernosť a dôležitosť spracúvaných osobných údajov.
Dôsledné uvedenie týchto zákonných ustanovení do praxe má za účel minimalizovať a ak je to možné úplne odstrániť riziká, ktoré z poškodenia, zničenia, straty, zmeny, nedovoleného prístupu a sprístupnenia osobných údajov dotknutých osôb nepochybne hrozia.
Zákon však ochranu osobných údajov v informačných systémoch neponecháva na ľubovôli osôb, ktoré ich spracúvajú. Pre určitú skupinu prevádzkovateľov a sprostredkovateľov stanovil povinnosť formalizovať informačnú bezpečnosť ohľadne osobných údajov do písanej podoby, ktorou je Bezpečnostný projekt.
Zabezpečiť jeho vypracovanie musia p&s, ak:
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 zákona o ochrane osobných údajov a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické, organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6 (teda postačí vytvoriť bezpečnostné smernice), alebo
c) informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1 zákona o ochrane osobných údajov; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona, ktorým je zákon c. 215/2004 Z. z. o ochrane utajovaných skutocností a o zmene a doplnení niektorých zákonov.
Samozrejme, že všetky tieto povinnosti, ktoré si zákon vynucuje by boli zbytočné bez aspoň nejakého systému kontroly, aj keby nebol 100%-ne účinný. Preto vznikol Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len Úrad) ako štátny orgán nezávisle vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah spomínaných technických, organizačných a personálnych opatrení, ktoré prijali na ochranu osobných údajov. A ak majú mať vypracovaný bezpečnostný projekt, môžu kontrolóri Úradu požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému ak by mali vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.
Bezpečnostný projekt obsahuje najmä časti
b) analýza bezpečnosti informačného systému,
Bezpečnostný zámer
Bezpečnostný zámer je v zásade súčasťou bezpečnostného projektu informačného systému. A možno povedať, že je jedným z jeho základných dokumentov. Osoba, ktorá vypracúva bezpečnostný projekt v ňom určuje ciele, ktoré je potrebné v oblasti informačnej bezpečnosti dosiahnúť... (pokračovanie bezpečnostný zámer).
Analýza bezpečnosti informačného systému
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému. Takže by v nej nemal chýbať popis informačného systému, ako aj všetkých častí IS, z ktorých sa neskôr vychádza pri samotnej analýze... (pokračovanie analýza bezpečnosti informačného systému).
Bezpečnostné smernice
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému." Tak hovorí zákon o ochrane osobných údajov. Čo z toho ale vyplýva? (pokračovanie bezpečnostné smernice).
