Postup spracovania bezpečnostného projektu
V prípade ak ste sa rozhodli pre spoluprácu na spracovanie bezpečnostného projektu a s ním súvisiacich dokumentov s našou spoločnosťou, tak si dovoľujeme uviesť Vám stručný jeho opis.
Každý bezpečnostný projekt je jedinečný dokument, závislý na konkrétnych podmienkach a spôsobu spracovania osobných údajov. Pri jeho spracovaní sa prihliada na konkrétne okolnosti daného informačného systému v oblasti objektovej, personálnej a informačnej bezpečnosti. Dôležitým predpokladom pre správne spracovanie je nezávislosť a objektivita spracovateľa projektu. Tieto vlastnosti možno spoľahlivejšie predpokladať u externého dodávateľa, ktorý nemá zamestnanecký alebo iný blízky vzťah k prevádzkovateľovi informačného systému.
Bezpečnostný projekt informačného systému obsahuje:
a) názov informačného systému na ktorý sa vzťahuje,
b) bezpečnostný zámer,
c) analýzu bezpečnosti informačného systému,
d) bezpečnostné opatrenia podľa novelizovanej vyhlášky č. 117/2014 ktorou sa mení a dopĺňa vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení.
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti.
Bezpečnostný zámer obsahuje najmä:
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s vymedzením rozsahu jeho odolnosti a zraniteľnosti.
Analýza bezpečnosti obsahuje najmä:
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb pre dôvernosť, integritu a dostupnosť spracúvaných osobných údajov s uvedením rozsahu možného rizika, návrhov opatrení na elimináciu alebo minimalizáciu vplyvu rizík s vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardami, metódami a prostriedkami.
Na základe bezpečnostnej analýzy sú navrhnuté bezpečnostné opatrenia a priority ich implementácie.
Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému na konkrétne podmienky prevádzkovaného informačného systému obsahujú:
a) popis technických, organizačných a personálnych opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému
c) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných
opatrení
d) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou udalosťou.
Bezpečnostný projekt a závery vyplývajúce z projektu v maximálnej možnej miere eliminujú bezpečnostné riziká, ktoré môžu vzniknúť zberom, uchovávaním a ďalším poskytovaním osobných údajov dotknutých osôb.
Je to výsledok podrobnej analýzy konkrétneho informačného systému, ponúka riešenie pri možných bezpečnostných udalostiach a preto je potrebné považovať tento dokument za prísne dôveryhodný, ktorého obsah je rovnako citlivý, ako ostatné osobné údaje, ktoré sa spracovávajú v informačnom systéme. Prístup k tomuto projektu nesmú mať neoprávnené osoby.
V prípade vyžiadania si ho zo strany kontrolných orgánov je potrebné ich poučiť o povinnosti mlčanlivosti a vyžiadať si písomné potvrdenie o prevzatí a vrátení.