Vyhláška 164/2013 z 13. júna 2013 Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení.
Úrad na ochranu osobných údajov Slovenskej republiky (dalej len “úrad”) podla § 20 ods. 3 zákona c.122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (dalej len “zákon”) ustanovuje:
§ 1
(1) Rozsah primeraných technických, organizacných a personálnych opatrení (dalej len “bezpecnostné opatrenia”) musí zodpovedat konkrétnym podmienkam spracúvania osobných údajov v informacnom systéme osobných údajov (dalej len “informacný systém”) a bezpecnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.
(2) Pri prijímaní bezpecnostných opatrení prevádzkovatel aplikuje najmä bezpecnostné opatrenia uvedené v prílohe, pricom rozlišujemedzi použitím automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Pri automatizovaných prostriedkoch spracúvania osobných údajov prevádzkovatel prostredníctvom bezpecnostných opatrení zabezpecí odolnost automatizovanej casti informacného systému proti škodlivým kódom (napríklad pocítacový vírus) a nežiaducim modifikáciám informacného systému, ako aj pravidelné a bezpecné zálohovanie spracúvaných osobných údajov.
(3) Prijatím bezpecnostných opatrení prevádzkovatel neoprávneným osobám znemožní akýkolvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami urcenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosicmi osobných údajov a oprávneným osobám zabezpecí prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poucení podla § 21 zákona.
§ 2
(1) Dokumentácia prijatých bezpecnostných opatrení (dalej len “dokumentácia”) popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu; obsah dokumentácie sa zhoduje so skutocným stavom pri spracúvaní osobných údajov.
(2) Bezpecnostné opatrenia musia byt zdokumentované prehladne a jednoznacne. Dokumentácia uvedená v § 3, 4 a 5 môže obsahovat presné odkazy na iné dokumenty prevádzkovatela alebo na ich casti, kde sú prijaté bezpecnostné opatrenia už zdokumentované;1) v uvedenom prípade sa iné dokumenty prevádzkovatela alebo ich casti považujú za dokumentáciu podla § 3, 4 a 5.
§ 3
Ak sú osobné údaje spracúvané v informacnom systéme, ktorý nie je prepojený s verejne prístupnou pocítacovou sietou, pricom nejde o spracúvanie osobitných kategórií osobných údajov podla § 13 zákona, dokumentácia podla § 19 ods. 1 zákona obsahuje
a) písomnú zmluvu podla § 8 zákona, ak prevádzkovatel poveril spracúvaním osobných sprostredkovatela,
b) písomné záznamy o poucení oprávnených osôb podla § 21 zákona,
c) písomné poverenie zodpovednej osoby podla § 23 zákona, ak prevádzkovatelovi taká povinnost vznikla,
d) záznamy o kontrolnej cinnosti prevádzkovatela zameranej na dodržiavanie bezpecnosti informacného systému podla § 4 ods. 1 písm. d),
e) záznamy o zistených bezpecnostných incidentoch vplývajúcich na bezpecnost osobných údajov a záznamy o nadväzných postupoch, ktorými prevádzkovatel zabezpecil obnovenie bezpecnosti informacného systému.
§ 4
Bezpecnostná smernica podla § 19 ods. 2 zákona obsahuje
a) popis bezpecnostných opatrení a spôsob ich uplatnovania v konkrétnych podmienkach,
b) rozsah oprávnení, popis povolených cinností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožnujú, prevádzkovatel na úcel spätnej identifikácie osoby, miesta a casu zabezpecí zaznamenanie každého vstupu oprávnenej osoby do informacného systému,
c) rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,
d) spôsob, formu a periodicitu výkonu kontrolných cinností zameraných na dodržiavanie bezpecnostných opatrení,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.
§ 5
(1) Bezpecnostný projekt informacného systému (dalej len “bezpecnostný projekt”) podla § 19 ods. 3 zákona obsahuje
a) názov informacného systému, na ktorý sa vztahuje,
b) bezpecnostný zámer,
c) analýzu bezpecnosti informacného systému,
d) bezpecnostnú smernicu podla § 4.
(2) Bezpecnostný zámer vymedzuje základné bezpecnostné ciele, ktoré je potrebné dosiahnut na ochranu osobných údajov pred ohrozením ich bezpecnosti. Bezpecnostný zámer obsahuje
a) formuláciu základných bezpecnostných cielov a minimálne požadovaných bezpecnostných opatrení,
b) špecifikáciu technických opatrení, organizacných opatrení a personálnych opatrení na zabezpecenie ochrany osobných údajov v infomacnom systéme a spôsob ich využitia,
c) vymedzenie okolia informacného systému a jeho vztah k možnému narušeniu bezpecnosti informacného systému,
d) vymedzenie hraníc urcujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpecnostné riziko, ktoré zostane úplne alebo ciastocne nepokryté bezpecnostnými opatreniami z dôvodu, že jeho miera je pre prevádzkovatela akceptovatelná alebo ju nie je možné eliminovat vhodnými a efektívnymi bezpecnostnými opatreniami.
(3) Analýza bezpecnosti informacného systému je podrobný rozbor stavu bezpecnosti informacného systému s vymedzením rozsahu jeho odolnosti a zranitelnosti.
Analýza bezpecnosti obsahuje najmä kvalitatívnu analýzu rizík tvorenú
a) identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto aktíva, identifikácii zranitelností zneužitelných hrozbami a na identifikácii dopadov na aktíva v dôsledku straty dôvernosti, integrity a dostupnosti,
b) analýzou a ohodnotením rizík založených na urcení dopadov, ktoré môžu vyplynút zo zlyhania bezpecnosti,
c) urcením reálnej pravdepodobnosti výskytu zlyhania bezpecnosti a odhadom úrovne rizík vymedzujúcim, ci je riziko akceptovatelné alebo vyžaduje prijatie dalších opatrení za využitia vopred urcených kritérií na akceptáciu rizika a identifikovaných prijatelných úrovní rizika,
d) identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpecnostných opatrení, vedomým a objektívnym akceptovanímrizík, vyhnutím sa rizikám alebo prenesením súvisiacich rizík na tretie strany,
e) výberom cielov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických noriem 2) a urcením iných metód a prostriedkov ochrany osobných údajov.
(4) Ak prevádzkovatel spracúva osobné údaje vo viacerých informacných systémoch, z ktorých aspon jeden vyžaduje vypracovanie bezpecnostného projektu,
môže vypracovat jeden bezpecnostný projekt pre všetky informacné systémy, v ktorom zretelne oznací casti týkajúce sa jednotlivých informacných systémov.
§ 6
Táto vyhláška nadobúda úcinnost 1. júla 2013.
Eleonóra Krocianová v. r.
Príloha
k vyhláške c. 164/2013 Z. z.
BEZPECNOSTNÉ OPATRENIA
1. Technické opatrenia
1.1 Technické opatrenia realizované prostriedkami fyzickej povahy
1.1.1 Zabezpecenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykatelné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpecovacích prostriedkov (napr. elektrický zabezpecovací systém objektu, elektrická požiarna signalizácia)
1.1.2 Zabezpecenie chráneného priestoru jeho oddelením od ostatných castí objektu (napr. steny, zábrany v podobe prepážok, mreží alebo presklenia)
1.1.3 Umiestnenie informacného systému v chránenom priestore (ochrana informacného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
1.1.4 Bezpecné uloženie fyzických nosicov osobných údajov (napr. uloženie listinných dokumentov v uzamykatelných skriniach alebo trezoroch)
1.1.5 Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informacného systému (napr. vhodné umiestnenie zobrazovancích
jednotiek)
1.1.6 Zariadenie na nicenie fyzických nosicov osobných údajov (napr. zariadenie na skartovanie listín)
1.2 Ochrana pred neoprávneným prístupom
1.2.1 Šifrová ochrana obsahu dátových nosicov a šifrová ochrana dát premiestnovaných prostredníctvom pocítacových sietí
1.2.2 Pravidlá prístupu tretích strán k informacnému systému, ak k takému prístupu dochádza
1.3 Riadenie prístupu oprávnených osôb
1.3.1 Identifikácia, autentizácia a autorizácia oprávnených osôb v informacnom systéme
1.3.2 Zaznamenávanie vstupov jednotlivých oprávnených osôb do informacného systému
1.4 Ochrana proti škodlivému kódu
1.4.1 Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej pocítacovej siete alebo z dátových nosicov
1.4.2 Ochrana pred nevyžiadanou elektronickou poštou
1.4.3 Používanie legálneho a prevádzkovatelom schváleného softvéru
1.4.4 Pravidlá stahovania súborov z verejne prístupnej pocítacovej siete
1.5 Sietová bezpecnost
1.5.1 Kontrola, obmedzenie alebo zamedzenie prepojenia informacného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou pocítacovou sietou
1.5.2 Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej pocítacovej siete
1.5.3 Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sietovej bezpecnosti (napr. firewall)
1.5.4 Pravidlá prístupu do verejne prístupnej pocítacovej siete (napr. zamedzenie pripojenia k urcitým webovým sídlam)
1.5.5 Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej
pocítacovej siete (napr. hackerský útok)
1.6 Zálohovanie
1.6.1 Test funkcionality dátového nosica zálohy
1.6.2 Vytváranie záloh s vopred zvolenou periodicitou
1.6.3 Test obnovy informacného systému zo zálohy
1.6.4 Bezpecné ukladanie záloh
1.7 Likvidácia osobných údajov a dátových nosicov
1.7.1 Bezpecné vymazanie osobných údajov z dátových nosicov
1.7.2 Zariadenie na likvidáciu dátových nosicov osobných údajov
1.8 Aktualizácia operacného systému a programového aplikacného
vybavenia
2. Organizacné opatrenia
2.1 Personálne opatrenia
2.1.1 Písomné poucenie oprávnených osôb pred uskutocnením prvej spracovatelskej operácie s osobnými údajmi
2.1.1.1 Poucenie o právach a povinnostiach vyplývajúcich zo zákona a zodpovednosti za ich porušenie
2.1.1.2 Vymedzenie osobných údajov, ku ktorým má mat konkrétna oprávnená osoba prístup na úcel plnenia jej povinností alebo úloh
2.1.1.3 Urcenie postupov, ktoré je oprávnená osoba povinná uplatnovat pri spracúvaní osobných údajov
2.1.1.4 Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
2.1.1.5 Vymedzenie zodpovednosti za porušenie zákona
2.1.2 Poucenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovatela a mimo týchto priestorov)
2.1.3 Písomné poverenie zodpovednej osoby podla § 23 zákona, ak prevádzkovatel spracúva osobné údaje prostredníctvom 20 alebo viac oprávnených osôb
2.1.4 Oboznámenie oprávnených osôb s bezpecnostnými smernicami
2.1.5 Vzdelávanie oprávnených osôb (napr. právna oblast, oblast
informacných technológií)
2.1.6 Postup pri ukoncení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poucenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlcanlivosti)
2.2 Vedenie zoznamu aktív a jeho aktualizácia
2.3 Riadenie prístupu oprávnených osôb k osobným údajom
2.3.1 Kontrola vstupu do objektu a chránených priestorov prevádzkovatela (napr. prostredníctvom technických a personálnych opatrení)
2.3.2 Správa klúcov (individuálne pridelovanie klúcov, bezpecné uloženie rezervných klúcov)
2.3.3 Pridelovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
2.3.4 Správa hesiel
2.3.5 Vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, docasnej pracovnej neschopnosti, ukoncenia pracovného alebo obdobného pomeru)
2.4 Organizácia spracúvania osobných údajov
2.4.1 Pravidlá spracúvania osobných údajov v chránenom priestore
2.4.2 Nepretržitá prítomnost oprávnenej osoby v chránenom priestore, ak sa v nom nachádzajú aj iné ako oprávnené osoby
2.4.3 Režim údržby a upratovania chránených priestorov
2.4.4 Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá
2.4.4.1 Pravidlámanipulácie s fyzickými nosicmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti
2.4.4.2 Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti
2.4.4.3 Pravidlá používania prenosných dátových nosicov mimo chránených priestorov a vymedzenie zodpovednosti
2.5 Likvidácia osobných údajov
2.5.1 Urcenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpecné vymazanie osobných údajov z dátových nosicov, likvidácia dátových nosicov a fyzických nosicov osobných údajov)
2.6 Bezpecnostné incidenty
2.6.1 Postup pri ohlasovaní bezpecnostných incidentov a zistených zranitelných miest informacného systému na úcel vcasného prijatia preventívnych alebo nápravných opatrení
2.6.2 Evidencia bezpecnostných incidentov a použitých riešení
2.6.3 Postup pri riešení jednotlivých typov bezpecnostných incidentov
2.6.4 Identifikácia, evidencia a odstranovanie následkov bezpecnostných incidentov
2.6.5 Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpecnostných incidentov)
2.6.6 Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného pocítaca)
2.7 Kontrolná cinnost
2.7.1 Kontrolná cinnost prevádzkovatela zameraná na dodržiavanie prijatých bezpecnostných opatrení s urcením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informacnému systému)
2.7.2 Informovanie oprávnených osôb o kontrolnom mechanizme,3) ak je u prevádzkovatela zavedený (rozsah kontroly a spôsoby jej uskutocnovania)
1) Napríklad § 28
výnosu Ministerstva financií Slovenskej republiky
c. 312/2010 Z. z. o štandardoch pre
informacné systémy verejnej
správy.
2) Napríklad STN
ISO/IEC 27001, STN ISO/IEC 27002, výnos Ministerstva financií Slovenskej
republiky c. 312/2010 Z. z.
3) Cl. 11 a § 13 zákona
c. 311/2001 Z. z. Zákonník práce v znení
neskorších predpisov.