standardy (normy) a legislativa informacn bezpecnosti...ietf,internet engineering task force 2...

Standardy (normy) a legislativainforma�cn�� bezpe�cnosti

PV017 �Bezpe�cnost IT

Jan Staudek

http://www.�.muni.cz/usr/staudek/vyuka/} w�� Æ�� !"#$%&'()+,-./012345<yA|Verze : podzim 2019

Standardy (normy) a legislativa

2 C��l p�redn �a�sky o standardech a standardizaci {

um�et odpov�ed�et na ot �azky:

X Co to jsou standardy, normy, doporu�cen�� ?

X Jak vznikaj�� standardy a doporu�cen�� ?

X Kdo je kdo ve sv�et�e standard �u a doporu�cen�� ?

X Kter �e standardy informa�cn�� bezpe�cnosti jsou reprezentativn�� ?

2 Standardiza�cn�� organizace a principy jejich �cinnosti a p �usoben��

2 Upozorn�en�� na hlavn�� de-iure standardy InfSec

2 Generick �a pr �avn�� hlediska {

koncept relevantn��ch pr �avn��ch princip �u

2 Legislativa v �CR souvisej��c�� s InfSec

2 GPDR, General Data Protection Regulation

Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 1

What is a standard?, ISO/IEC Guide 2: 1996

2 A document,

established by consensus and

approved by a recognized body,

that provides, for common and repeated use, rules,

guidance or characteristics of activities and their results,

aimed at the achievement of the optimum degree of order

in a given context.

X Dokument stanoven �y na z �aklad�e konsenzu aschv �alen �y uznan �ym org �anem,kter �y poskytuje pro obecn �e a opakovan �e pou�zit��pravidla, pokyny nebo charakteristiky aktivit a jejich v �ysledk �u,zam�e�ren �y na dosa�zen�� optim �aln��ho stupn�e uspo�r �ad �an��v dan �em kontextu.


Standard, norma, doporu�cen�� = dokumentovan �a �umluva

2 �umluva

{ o technick �e speci�kaci nebo

{ o jin �em podobn �em p�resn�e stanoven �em krit �eriu

2 c��l �umluvy

X pravidlo/sm�ernice de�nuj��c�� charakteristick �e vlastnostimateri �al �u, v �yrobk �u, proces �u, slu�zeb, . . .

X umo�z �nuje, aby materi �aly, v �yrobky, procesy, slu�zby, , . . . byly takov �e,jak �e se zam �y�sl��, �ze maj�� b �yt

{ form �at platebn�� karty,

{ protokol komunikace,

{ politika poskytov �an�� slu�zby,

{ . . .



2 standard nebo norma ?

X v �Cesku (mimo oblast IT) se tradi�cn�e pou�z��v �a pojem ,,norma\,co�z je historick �y vliv n�em�ciny

X v oblasti IT celosv�etov�e pojem ,,norma\ vesm�es prohr �av �as pojmem ,,standard\ { d �ano vlivem progresivn�� globalizac�� angli�ctiny

2 Doporu�cen�� (recommendation) { term��n pou�z��van �y n�ekter �ymi

organizacemi vyd �avaj��c�� standardy m��sto term��nu

,,standard"(ITU { telekomunikace, . . . )

2 Standard vyvinut �y na b �azi konsensu jist �e komunity,

de facto standard

X standard vypracovan �y v r �amci jist �e komunity, kter �a si p�red jehovyd �an��m odsouhlas��, �ze standard odpov��d �a j�� stanoven �ym c��l �um

X nap�r. dokumenty RFC vyd �avan �e IETF pro oblast Internetu

X de facto standard reprezentuje sp��se liber �aln�� pohled na sv�et



2 Standard ,,podle pr �ava\ , de iure standard

X �umluva schv �alen �a uzn �avanou instituc�� pov�e�renou t��mto posl �an��mlegislativou, rozhodnut��m st �atn��ch autorit, . . .

X standardy implicitn�e nejsou pr �avn�e z �avazn �e,jist �a pr �avn�� norma ale m�u�ze p�redepsatpovinnost vyhov�en�� (obvykle de iure) standardu

X typicky standardy vyd �avan �e organizacemi ISO, IEC, ITU, . . .

X de iure standard reprezentuje siln�e konzervativn�� pohled na sv�et

2 konzervativci od liber �al �u p�reb��raj�� co p�reb��rat cht�ej�� a

co p�reb��rat sta�c��

X de facto standardy se vyd �avaj�� rychleji

X vyzr �al �e de facto standardy, kter �e se uk �azaly jako efektivn��,se �casto p�repracov �avaj��/p�reb��raj�� na de iure standardy



2 Z �avaznost standard �u

X �z �adn �y standard s �am o sob�e nem�a charakter pr �avn��ho p�redpisu

X pr �avn�� p�redpis m�u�ze stanovit povinn �e vyhov�en�� standardu

{ v tom p�r��pad�e se obvykle d �av �a p�rednost de iure standard �um

2 Mezin �arodn�� charakter standard �u

X v �yrobci standardizovan �ych produkt �u/proces �u v glob �aln��m prost�red��mus�� zvolit standard, kter �emu proces/produkt vyhovuje

X tud��z je nutn �e zabr �anit p�r��li�sn �e diverzi�kaci prosazov �an��,,spr �avn �ych"technik, . . .

X mnoho standardu pokroku v technologiıch smrt


Vyhov�en�� standardu vs. certi�kace

2 Compliance (vyhov�en��) vs. Certi�cation (certi�kace)

2 Produkt, slu�zba, proces, . . .m�u�ze b �yt prohl �a�sena za

vyhovuj��c�� standardu

X prohl �a�sen��, �ze produkt, slu�zba, proces, . . .spl �nuje podm��nky de�novan �e standardem

X po�zadavek vyhov�en�� m�u�ze b �yt p�redepsan �y z �akonem, smlouvou, . . .

2 Produkt, slu�zba, proces, . . .m�u�ze b �yt certi�kovan �y,

tj. existuje certi�k �at potvrzuj��c��, �ze je vyhovuj��c�� standardu

X Certi�kace { neutr �aln�� d �uv�eryhodn �a t�ret�� strana prov�e�r�� validituprohl �a�sen�� o vyhov�en�� standardu a vyd �a o tom relevantn�� certi�k �at

X Standardy de�nuj��c�� nap�r. algoritmus, jsou snadno certi�kovateln �e

X Standardy n �avod �u jak budovat syst �em/slu�zbu jsou sp��se radou acerti�kace se obvykle nepo�zaduje


Probl �emy standardizace

2 Standard mus�� b �yt odsouhlasen �y v�semi �cleny komunity

X mnoho r �uzn �ych pohled �u na to, co je spr �avn �e

X pokud se do standardu dostane velk �a �sk �ala voleb a povinn �ychp�redpoklad �u, obt��zn�e a n �akladn�e se implementuje

X to byl jeden z d �uvod �u pro�c model TCP/IP zv��t �ezil nad modelem OSI

2 Standard je jen dokument

X interpretace se mohou li�sit, zvl �a�st�e p�ri p�rekladu do r �uzn �ych jazyk �u

2 Pokud produkt vyhov�� jen podstatn �e �c �asti standardu,

pak v podstat�e vyhovuje standardu,

ale nen�� vyhovuj��c�� standardu

2 Pokud siln �y v �yrobce nahrad�� nez �avisl �e standardy sv �ymi

propriet �arn��mi standardy, v �a�ze z �akazn��ky na svoji

propriet �arn�� funkcionalitu


Oblasti z �ajmu de iure standard �u

2 univerz �aln�� oblast bez portfeje { zahrnuje v�se, bez omezen��X Celosv�etov�e odpov�edn �a instituce:

International Organization for Standardization ISO, ISO

X ISO { isos, stejn �y, �z �adn �y akronym !!!

X celosv�etov �a federace v��ce ne�z cca 160 �clensk �ych n �arodn��ch (st �atn��ch)standardiza�cn��ch organizac�� (ISO Member Bodies) ex. od r. 1947

2 oblast elektroniky a elektrotechnikyX Celosv�etov�e odpov�edn �a instituce: ISO +

International Electrotechnical Commission, IEC

2 oblast komunikac��X Celosv�etov�e odpov�edn �a instituce: ISO +

International Telecommunications Union, ITU,konkr �etn�e jej�� T-sektor, sektor standardizace, ITU-T,od r. 1993 n �aslednick �y org �an CCITT ((1865) 1956{1993),Comite Consultatif International Telephonique et Telegraphique

Informa�cn�� bezpe�cnost je p�redm�etem z �ajmu ve v�sech t�rech lini��ch.


Pr �ace na de iure standardech v oblasti IT

2 ,,Spole�cn �y technick �y v �ybor �c��slo �c. 1\,

Joint Technical Committee, ISO/IEC JTC1 z�r��zen �y ISO a IEC

X v des��tk �ach podv �ybor �u (Subcommittee, SC)�re�s�� ISO/IEC JTC1 standardizaci v r �uzn �ych oblastech IT

X Informa�cn�� bezpe�cnosti se v�enuje SC 27, Security Techniques{ v sou�casnosti v SC27 p �usob�� cca 40 �clensk �ych st �at �u

X Provozn�� z �ale�zitosti chodu ISO/IEC JTC1 zaji�st'uje jeho odborITTF, IT Task Force

2 ISO TC 68, ISO Technical Committee 68, Financial ServicesX Informa�cn�� bezpe�cnosti se v�enuje podv �ybor SC 2,

Security Management and General Banking Operations2 Doporu�cen�� (ekvivalent standardu) v oblasti komunikac��

vyd �av �a ITU-T

X ITU-T �casto �uzce spolupracuje s ISO/IEC JTC1


Evropsk �e de iure standardiza�cn�� organizace

2 Comit �e Europ �een de Normalisation, CEN

X odpov��d �a svoj�� p �usobnost�� ISO

2 Comit �e Europ �een de Normalisation El �ectrotechnique,

CENELEC

X odpov��d �a svoj�� p �usobnost�� IEC

2 European Telecommunications Standards Institute, ETSI

X odpov��d �a svoj�� p �usobnost�� ITU


N�arodn�� (st �atn��) de iure standardiza�cn�� organizace

2 reprezentuj�� st �at v ISO { ISO Member Bodies

2 nejreprezentativn�ej�s�� normaliza�cn�� organizace v dan �e zemi

2 standardy ,,siln �ych\ organizac�� (ANSI, BSI, DIN, . . . )

jsou mnohdy respektov �any a pragmaticky uzn �av �any i

mezin �arodn�e

2 P�r��klady

X ANSI { (U.S.A.), American National Standards Institute

X BSI { (U.K.), British Standard Institute

X DIN { (N�emecko), Deutsches Institut f �ur Normung

X SCC { (Kanada), Standards Council of Canada

X AFNOR { (Francie), Association Fran�caise de Normalisation

X . . .

X �CSNI { �Cesk �y normaliza�cn�� institut


V �yznamn �e postaven�� U.S.A.

2 v�seobecn �e mezin �arodn�� respektov �an�� a uzn �av �an�� je d �ano

�urovn�� severoamerick �ych technologi��

2 Institute of Electrical and Electronics Engineers, IEEE

X profesion �aln�� org �an in�zen �yr �u v oblasti elektroniky a elektrotechniky

X normy IEEE vesm�es maj�� v �yrazn �y mezin �arodn�� v �yznam adopad mj. se v �yrazn�e zam�e�ruje i na normy bezpe�cnosti

X zn �am�e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX)

2 National Institute for Standards and Technology, NIST

X vl �adn�� standardiza�cn�� org �an,vyd �av �a standardy feder �aln�� st �atn�� spr �avy USA

X n �astupce NBS (National Bureau of Standards)X vyd �av �a tzv. FIPS, Federal Information Processing Standards


V �yznamn �e postaven�� U.S.A.

2 American National Standards Institute, ANSI

X z �astupce USA v organizaci ISO

X v�enuje se mj. i normaliza�cn�� cinnosti v oblasti bezpe�cnosti IT,zvl �a�st�e pak norm�am bezpe�cnosti bankovn��ho sektoru


P�r��klad oblasti de facto standard �u { RFC (ISOC)

2 RFC (Request for Comment)X n �azev internetovsk �ych standard �u, d �ano historickou souvislost��

2 V pozad�� p �usob�� { Internet Society, ISOCX http://www.isoc.org/

X 150 institucion �aln��ch, 6000 individu �aln��ch �clen �u z cca 100 zem��

2 Internet reprezentuje { Internet Activities Board, IABX rada pro internetovsk �e �cinnosti

X mana�zersky spravuje a �r��d�� provoz Internetu

X prov �ad�� dohled nad architekturou protokol �u a procedur

X zalo�zena v r. 1983, m �a individu �aln��ch 13 �clen �u

2 hlavn�� odpov�ednost za v �yvoj a posuzov �an�� RFC IAB

delegovala na technickou poradn�� komisi {

IETF, Internet Engineering Task Force

2 Kone�cn �e rozhodnut�� o vyd �an�� (p�rijet��) RFC d�el �a IAB


P�r��klad oblasti de facto standard �u { OWASP

2 OWASP, The Open Web Application Security Project

X a worldwide free and open communityfocused on improving the security of application software

X http://www.owasp.org/

X standard v �yvoje bezpe�cn �e webovsk �e aplikace

X standard testov �an�� bezpe�cn �e webovsk �e aplikace

X standard hodnocen�� a kriteria z �arukza bezpe�cnost bezpe�cn �e webovsk �e aplikace


P�r��klad oblasti de facto standard �u { ISACA

2 ISACA, Information Systems Audit and Control Association

X mezin �arodn�� organizace auditor �u v �ypo�cetn��ch syst �em�u

X v r. 1996 vyd �av �a COBIT,

The Control Objectives for Information and related Technologya set of best practices (framework) forinformation technology management

X C��l COBIT:

vyzkum, vyvoj, podpora a zverejnovanı odborne verohodneho,aktualnıho a mezinarodne platneho souboru obecneuznavanych cılu rızenı informacnıch technologiı prokazdodennı pouzıvanı manazery a auditory.


P�r��klad oblasti de facto standard �u { ISF

2 ISF, Information Security Forum

X mezin �arodn�� nez �avisl �a, neziskov �a v�enuj��c�� se m�e�ren�� a rozvoji praktikv informa�cn�� bezpe�cnosti

X v r. 1996 vyd �av �a voln�e dostupn �y standard (SoGP),

The Standard of Good Practice { a detailed documentation ofbest practice for information security

X C��l ISF:

derives from the ISO/IEC 27002 and COBIT v4.1. standardsand outlines a functional information security methodologybased on both research and real world experience


Firemn��, propriet �arn�� standardy

2 kategorie de facto standard �u

2 obvykle standardy patentovan �ych technik

2 v �yznamn �y n �astroj pro ,,udr�zen�� trhu"silnou spole�cnost��

2 mnohdy hraj�� velmi silnou roli, nap�r.

PKCS (Public-Key Cryptography Standards)publikovan �y RSA Labs.


Proces normalizace ISO

2 Odpov�ednost za tvorbu norem v d��l�c��ch oblastech maj��

technick �e v �ybory,Technical Committees, TC

X tak �e n�ekdy technick �e komise

X komis�� / v �ybor �u je cca 200

X TC si ur�cuje sv �uj program v r �amci vymezen �em jeho rodi�covskouorganizac�� (ISO) s �am tak, aby zadan �y �ukol vy�re�sil


Proces normalizace ISO

2 TC m�u�ze d�elit svoji p �usobnost mezi sv �e podv �ybory,

SubCommittees, SC

X tak �e subkomise, subkomis�� / podv �ybor �u je cca 500

2 SC obvykle d�el�� svoji p �usobnost na

pracovn�� skupiny, Working Groups, WG

X WG je v sou�casnosti cca 2 500

X v pracovn��ch skupin �ach se skute�cn�e pracuje, v �y�se se jen schvaluje

2 Evoluce standard �u v r �amci TC/SC/WG je pomal �a

2 na standardu se pracuje a obvykle n�ekolik (typicky 5) let

2 Pro sou�casn �y rozvoj IT je to velmi brzd��c�� faktor


�Zivotn�� cyklus ISO standardu

2 n �avrh nov �e pracovn�� polo�zky | NWI (New Work Item)

X a hlasov �an�� v TC o NWI, jmenov �an�� odpov�edn �eho editora

2 s �erie postupn�e vyd �avan �ych n �avrh �u standardu na �urovni

pracovn�� skupiny | WD (Working Drafts)

2 n �avrh normy na �urovni podv �yboru (SC) | CD (CommitteeDraft)

X a hlasov �an�� v SC o CD (typicky po dobu 3 m�es��c �u)

2 n �avrh mezin �arodn�� normy | DIS (Draft International Standard)X a hlasov �an�� v TC o DIS (obvykle po dobu 4{6 m�es��c �u)

2 kone�cn �y n �avrh mezin �arodn��ho standardu | FDIS (Final DIS)X s dobou pro hlasov �an�� 2 m�es��ce

2 pot �e FDIS z��sk �av �a statut mezin �arodn�� normy


�Zivotn�� cyklus ISO standardu

2 p�etilet �a perioda hodnocen�� mezin �arodn��ho standardu

X Kdy�z se odhal��-li se vada standardu

{ nap�r. byla podcen�ena rychlost rozvoje technologie

X jsou p�rij��m �ana opat�ren��, aby standardy byly revidov �anyi d�r��ve ne�z v p�etilet �em hodnot��c��m cyklu

{ syst �em zpr �av o vad �ach ve standardech (Defect Report System)


ISO TR (Technical Reports)

2 Technick �e zpr �avy typu 1

X se vyd �av �a tehdy, kdy�z se ve v �yboru nenalezladostate�cn �a podpora pro vyd �an�� standardu

X �R��k �a se v de�nici TR 1:

navzdory op�etovn �e snaze nen�� mo�zn �eprosadit materi �al k vyd �an�� jako �r �adn �y standard

X dohoda nen�� mo�zn �a, proto�ze n �azory jednotliv �ych n �arodn��ch instituc��(jednotliv �ych �clen �u v �yboru) se r �uzn��, standard nem�u�ze b �yt vydan �y

X TR typu 1 je b�ehem t�r�� let po sv �em vyd �an�� p�redm�etem revize,padne rozhodnut��, zda bude p�rem�en�ena v mezin �arodn�� standard


ISO TR (Technical Reports)


X vyd �av �a se v p�r��pad�e, kdy standardizovan �y p�redm�et se st �aleje�st�e z technick �eho hlediska vyv��j�� a za �cas bude posouzeno,zda dohoda ji�z mo�zn �a je


p�redm�et z �ajmu normy je st �ale ve st �adiu rozvoje neboexistuje jin �y d �uvod, pro kter �y nen�� mo�zn �e schv �alitmezin �arodn�� standard okam�zit �e,v budoucnu to v�sak z�rejm�e mo�zn �e bude

X TR typu 2 je b�ehem t�r�� let po sv �em vyd �an�� p�redm�etem revize,padne rozhodnut��, zda bude p�rem�en�ena v mezin �arodn�� standard


ISO TR (Technical Reports


X se vyd �avaj�� o probl �emech, kter �e b�e�zn�e nepodl �ehaj�� technick �estandardizaci, ale ur�cit �y n �avrh je natolik v �yznamn �y a po form�aln��str �ance p�ripraven �y, �ze bylo zhled �ano jeho vyd �an�� alespo �n formoutechnick �e zpr �avy jako vhodn �e


technick �y v �ybor shrom�a�zdil r �uzn �e podklady, ze kter �ych je norm�aln�epublikov �an mezin �arodn�� standard

X TR typu 3 nen�� znovu posuzov �ana, pokud informace v nich obsa�zen �enejsou shled �any neplatn �ymi �ci neu�zite�cn �ymi

X TR typu 3 je obvykle dokument metodick �eho charakteru

X skute�cnost, �ze se jedn �a ,,pouze" o technickou zpr �avu a nikoli o �r �adn �ymezin �arodn�� standard, v�sak z v�ecn �eho hlediska nijak nesni�zuje v �yznamdokumentu

X TR 3 je nap�r. ISO/IEC TR 13335 Sm�ernice pro spr �avu bezpe�cnosti IT


ISO/IEC/JTC1/SC 27 Security Techniques

2 Orientace { standardizace generick �ych metod a technik

bezpe�cnosti IT

X identi�kace generick �ych bezpe�cnostn��ch po�zadavk �u na IT

X syst �emov �e bezpe�cnostn�� slu�zby

X v �yvoj bezpe�cnostn��ch technik a mechanism�u{ kryptogra�ck �e algoritmy pro utajovac��, integritn��, autentiza�cn��,podepisovac��, . . . slu�zby (ne pro aplikace)

X procedury

X vztahy mezi bezpe�cnostn��mi komponentami

X v �yvoj bezpe�cnostn��ch n �avod �u (anal �yza rizik)

X v �yvoj mana�zersk �ych dokument �u a standard �u (hodnot��c�� krit �eria)

2 Vnit�rn�� struktura

X WG1: Requirements, security services and guidelines

X WG2: Security techniques and mechanisms

X WG3: Security evaluation criteria


Hlavn�� standardy vydan �e ISO/IEC/JTC1/SC 27/WG1

2 V sou�casnosti p�redev�s��m rodina standard �u ISO/IEC 27000

X v��ce viz http://www.iso27001security.com/html/iso27000.html

X doporu�cen�� jak �r��dit informa�cn�� bezpe�cnost, �re�sit zvl �ad �an�� rizik a jakimplementovat opat�ren�� v kontextu cel �eho syst �emu syst �emu �r��zen��informa�cn�� bezpe�cnosti.

X V soucasnosti celosvetove uznavany zakladnıstandard zajist’ovanı informacnı bezpecnosti


Rodina standard �u ISO/IEC 27000, ISO/IEC 27001:2013

2 Information Security Management System { Requirements

2 de�nuje po�zadavky na funkcionalitu a vlastnosti

syst �emu spr �avy (�r��zen��) informa�cn�� bezpe�cnosti

2 po�zadavky na mo�zn �a bezpe�cnostn�� opat�ren�� vymezuje

standard ISO/IEC 27002

2 ISO/IEC 27001 je p �uvodn�e britsk �y standard BS 7779-2

2 standard je detailn��m popisem po�zadavk �u, kter �e mus�� / m �a

ISMS splnit, v origin �ale se pou�z��v �a must a shall, pokudISMS chce standardu vyhov�et

2 je nez �avisl �y na technologii, ur�cen �y pro organizace v�sech typ �u,

velikost�� a podstat, p �usob��c��ch v jak �emkoli sektoru

(komerce, st �atn�� spr �ava, neziskovky), kdekoli ve sv�et�e



2 v dodatku standard 27001 uv �ad�� seznam c��l �u opat�ren��

de�novan �ych v ISO/IEC 27002

2 ISO/IEC 27002 obsahuje n �avody, jak je implementovat

2 Povinn �ym po�zadavkem 27001 je porovnat opat�ren�� zvolen �a

p�ri zvl �ad �an�� rizik proti dodatku 27001, aby byla jistota,

�ze se na nic nezapomn�elo

2 27001 na�rizuje pou�z��t 27002 jak zdroj n �avod �u pro volbu a

implementaci opat�ren��, nezakazuje pou�zit�� i dal�s��ch zdroj �u

2 Seznam c��l �u a opat�ren�� v dodatku 27001 nen�� ch �ap �an jako

�upln �y, vy�cerp �avaj��c��, podle pot�reby lze dopl �novat dal�s�� c��le

a opat�ren��

2 ISMS organizace lze certi�kovat na vyhov�en�� ISO/IEC 27001



2 Code of practice for information security management

2 doporu�cen�� jak navrhovat, implementovat, udr�zovat a

vylep�sovat opat�ren�� prosazuj��c�� informa�cn�� bezpe�cnost,

pou�z��v �a slova may, should (m�u�ze, m�el by)

2 p�uvodn�e britsk �y standard BS 7779, pot �e standard

ISO/IEC 17779, nyn�� standard ISO/IEC 27002:2013

2 jde o mezin �arodn�e uzn �avan �e nejlep�s�� praktiky �r��zen��

informa�cn�� bezpe�cnosti

2 je n �avodem, jak implementovat certi�kovateln �y ISMS, extern��

auditor se m�u�ze na 27002 odkazovat

2 standard ISO/IEC 27002 je kodexem, radami pro budov �an��

bezpe�cn �eho syst �emu, obvykl �e je deklarovat vyhov�en��

standardu, certi�kace vyhov�en�� ISO/IEC 27002 se ned�el �a


Rodina standard �u ISO/IEC 27000 v 05.2109

X Standardy, kter �e �uzce souvis�� s obsahem p�redm�etu PV017,

jsou tabulce v �cerven �em r �amci



X + ISO/IEC 27045, Draft, Big data security and privacy {Processes


Rodina standard �u ISO/IEC 27000 p�rehled


P�r��klady dal�s��ch standard �u vydan �ych ... JTC1/SC 27/WG1

2 ISO/IEC TR 15945,

Speci�cation of TTP services to support the application of

digital signatures

X spole�cn �y standard s doporu�cen��m X.843 ITU-T

2 ISO/IEC TR 18043,

System deployment a operations of intrusion detection

systems { IDS

X technick �a zpr �ava s metodick �ym n �avodem jak zahrnout IDS doIT infrastruktury

2 ISO/IEC TR 18044,

Information security incident management

X technick �a zpr �ava s metodick �ym n �avodem pro spr �avu reakce nabezpe�cnostn�� incident


Typy standard �u vydan �ych ...JTC1/SC 27/WG2

Orientace { kryptogra�ck �e a autentiza�cn�� techniky a mechanismy

X ISO/IEC 9796, 2000{2002, Digital signature schemesgiving message recovery

X ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes

X ISO/IEC 9798, 1997{2000, Entity Authentication

X ISO/IEC 10116, 1997, Modes of operation forn-bit block cipher algorithm

X ISO/IEC 10118, 1998{2000, Hash function

X ISO/IEC 11770, 1996{1999, Key management

X ISO/IEC 13888, 1997{1998, Non-repudation

X ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix

X ISO/IEC 15946, Cryptographic techniques based on elliptic curves

X ISO/IEC 18014, 2002, Time stamping services

X ISO/IEC 18033, Ecryption algorithms


Standard vydan �y ISO/IEC/JTC1/SC 27/WG3

2 ISO/IEC 15408

Evaluation criteria for IT security

X ISO/IEC 15408-1: Part 1: Introduction and general model

X ISO/IEC 15408-2: Part 2: Security functional requirements

X ISO/IEC 15408-3: Part 3: Security assurance requirements

X v�sechny 3 �c �asti byly publikovan �e v r. 2005

X v��ce v samostatn �e p�redn �a�sce


Standardy ISO/TC 68 Financial Services

2 Sou�casn �a struktura TC 68

X SC2: Security management a general banking operations

{ hlavn�� p �usobi�st�e standardizace bezpe�cnosti IT

{ WG4 Information security guidelines fo banking{ WG6 Framework for IT security for �nancial institutions{ WG10 Biometric information security{ WG11 Encryption algorithm used in banking applications{ WG12 Security in retail banking{ WG14 Cryptographic syntax scheme for �nancial services

X SC4: Securities and realted �nancial instruments

X SC6: Retail �nancial services

X SC7: Core banking

X WG2: International bank account number


Evropsk �e iniciativy ve standardizaci informa�cn�� bezpe�cnosti

2 Zast�re�suj�� CEN a ETSI

2 Hlavn�� iniciativa {

CEN/ISSS, Information Society Standardization SystemX vznik koncem 90. let, �uzk �a n �avaznost na CEN, ETSI, CENELEC

X c��l: zkr �acen�� ISO{doby tvorby ISO standardu (tou je 5 let)

X zav �ad�� se velmi pru�zn �y princip p�rij��m �an�� pracovn��ch (de facto)standard �u formou v �ysledn �ych dokument �u standardiza�cn��ch workshop �u(WS) ustanovovan �ych podle pot�reby,tzv. CEN Workshop Agreements, CWA

2 p�r��klady CEN/ISSS workshop �u

X Electronics Signatures, E-Sign

X eAuthentication

X Data protection and Privacy, DPP

X Electronic Commerce,EC, . . .


NIST Special Publications (SP)

2 http://csrc.nist.gov/publications/PubsSPs.html

2 SP 800, Computer Security (December 1990-present):

X NIST's primary mode of publishing computer/cyber/informationsecurity guidelines, recommendations and reference materials

2 SP 1800, NIST Cybersecurity Practice Guides (2015-present):

X Complement the SP 800s; targets speci�c cybersecurity challengesin the public and private sectors; practical, user-friendly guides tofacilitate adoption of standards-based approaches to cybersecurity

2 SP 500, Computer Systems Technology (January

1977-present):

X A general IT subseries used more broadly byNIST's Information Technology Laboratory (ITL)


Standard NIST, rodina SP 800, p�r��klady (SP – Special Publication)

X SP 800-12 : An Introduction to Computer Security:The NIST Handbook

X SP 800-14 : Generally Accepted Principles and Practices forSecuring Information Technology Systems

X SP 800-27 : Engineering Principles for IT SecurityX SP 800-30 : Risk Management Guide for

Information Technology SystemsX SP 800-45 : Electronic Mail SecurityX SP 800-50 : Building an Inf. Techn. Security Awareness

and Training ProgramX SP 800-63 : Electronic Authentication GuidelinesX SP 800-94 : Guide to Intrusion Detection and

Prevention Systems (IDPS)X SP 800-95 : Guidelines for Secure Web ServicesX SP 800-100 : Information Security Handbook: A Guide for Mngrs


Standard ISACA, COBIT

2 COBIT { Control Objectives for Information and related Techn.

2 34 proces �u, 230 �r��dic��ch n �astroj �u v oblastech { v dom�en �ach

X Plan and Organize

jak m�u�ze IT pomoc�� organizaci dos �ahnout stanoven �ych c��l �u

X Acquire and Implement

identi�kace po�zadavk �u na IT a jejich implementace do st �avaj��c��chpodnikatelsk �ych proces �u organizace

X Deliver and Support

procesy umo�z �nuj��c�� efektivn�� b�eh syst �emu

X Monitor and Evaluate

strategie posuzov �an�� pot�reb organizace, prok �az �an��, zda st �avaj��c��c��syst �em st �ale spl �nuje c��le, pro kter �e byl navr�zen �y

2 �sir�s�� z �ab�er ne�z ISO/IEC 27002, dopl �nuj�� se, nekonkuruj�� si


Standard ISACA, COBIT, detailn�eji

2 Pl �anov �an�� a organizace (Plan and Organize PO)

X PO1 De�ne a strategic IT plan

X PO2 De�ne the information architecture

X PO3 Determine technological direction

X PO4 De�ne the IT processes, organisation and relationships

X PO5 Manage the IT investment

X PO6 Communicate management aims and direction

X PO7 Manage IT human resources

X PO8 Manage quality

X PO9 Assess and manage IT risks

X PO10 Manage projects



2 Akvizice a implementace (Acquire and Implement AI)

X AI1 Identify automated solution.

X AI2 Acquire and maintain application software

X AI3 Acquire and maintain technology infrastructure

X AI4 Enable operation and use

X AI5 Procure IT resources

X AI6 Manage changes

X AI7 Install and accredit solutions and changes



2 Dod �avka a podpora (Deliver and Support DS)

X DS1 De�ne and manage service levels

X DS2 Manage third-party service

X DS3 Manage performance and capacity

X DS4 Ensure continuous service

X DS5 Ensure systems security

X DS6 Identify and allocate costs

X DS7 Educate and train users

X DS8 Manage service desk and incidents

X DS9 Manage the con�guration. DS10 Manage problems

X DS11 Manage data

X DS12 Manage the physical environment

X DS13 Manage operations



2 Monitoring a evaluace (Monitor and Evalue ME )

X ME1 Monitor and evaluate IT performance.

X ME2 Monitor and evaluate internal control.

X ME3 Ensure compliance with external requirements.

X ME4 Provide IT governance.


Standard ISF, SoGP

2 SoGP { Standard of Good Practice for Information Security

2 �sest kl��cov �ych aspekt �u

X Security management { �r��zen�� bezpe�cnosti

X Critical business applications { provozov �an�� aplikac��

X Computer installations { IT infrastruktura

X Networks { IT infrastruktura

X Systems development { v �yvoj nov �ych aplikac��

X End user environment { prost�red�� koncov �ych u�zivatel �u

2 popisy princip �u a c��l �u, doporu�cen�� pokr �yvaj��c�� implementaci


Pr �avn�� principy

2 pravidla, kter �a tvo�r�� z �aklad ur�cit �eho pr �avn��ho institutu,

z �akona, pr �avn��ho odv�etv�� nebo pr �avn��ho �r �adu

2 v pr �avn��m st �at�e jsou pr �avu imanentn�� (bytostn�e vlastn��),

bez ohledu na to, zda jsou �ci nejsou v �yslovn�e vyj �ad�rena

v platn �ych pr �avn��ch norm�ach

2 jsou v��cem�en�e spole�cn �a pr �avu zem�� s p�r��buznou kulturou

2 jsou z �akladem pr �avn��ho �r �adu pr �avn��ho st �atu

2 m�ely by b �yt symbolick �ym a alespo �n �c �aste�cn �ym racion �aln�e

pojmov �ym vyj �ad�ren��m pr �ava p�rirozen �eho

2 Pr �avn�� normy (z �akony, vyhl �a�sky, . . . ) mohou b �yt zru�seny.

Pr �avn�� principy zru�seny b �yt nemohou a nemohou b �yt ani

vyvr �aceny jakoukoli interpretac��.


Pr �avn�� principy

2 Politikou (v oblasti pr �ava) se rozum�� standard, kter �y vyty�cuje

c��l, jeho�z se m�a dos �ahnout, zpravidla zlep�sen�� ur�cit �e

kvality . . .

2 Pr �avn�� princip je standard, kter �y se m�a dodr�zovat nikoli

proto, �ze to pom�u�ze dos �ahnout nebo zajistit n�ejakou

ekonomickou, politickou nebo soci �aln�� situaci, kter �a se

pova�zuje za �z �adouc��, ale proto, �ze je po�zaduje

spravedlnost, slu�snost nebo n�ejak �a jin �a dimenze mor �alky.


P�r��klady pr �avn��ch princip �u

2 Nemo ultra posse obligatur, k nemo�zn �emu nen�� nikdo zav �az �an

2 Lex retro non agit, z �akon nep �usob�� zp�etn�e

2 Ignorantia legis non excusat, neznalost z �akona neomlouv �a

2 Pacta sunt servanda, smlouvy se maj�� dodr�zovat

2 Lex posterior derogat priori, z �akon pozd�ej�s�� ru�s�� z �akon d�r��v�ej�s��

2 Lex specialis derogat generali, speci �aln�� uprava ru�s�� pr �avn��

�upravu obecnou

2 Lex superior derogat inferiori, z �akon vy�s�s�� pr �avn�� s��ly ru�s��

z �akon ni�z�s�� pr �avn�� s��ly

2 Nullum crimen, nulla poena sine lege, nen�� zlo�cinu, nen��

trestu bez z �akona

2 Ne bis in idem, ne dvakr �at o tomt �e�z


�Cesk �a legislativa souvisej��c�� s informa�cn�� bezpe�cnost��

2 Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti

X �u�cinnost 1.1.2015X z �akladn�� principy viz d �ale

2 Z �akon �c. 106/1999 Sb., o svobodn �em p�r��stupu k informac��m

X Povinn �ymi subjekty, kter �e maj�� podle tohoto z �akona povinnostposkytovat informace vztahuj��c�� se k jejich p �usobnosti, jsou st �atn��org �any, �uzemn�� samospr �avn �e celky a jejich org �any a ve�rejn �e instituce.

2 Z �akon �c. 101/2000 Sb., o ochran�e osobn��ch �udaj �u

X osobn��m �udajem jak �akoliv informace t �ykaj��c�� se ur�cen �eho nebour�citeln �eho subjektu �udaj �u.

X Subjekt �udaj �u se pova�zuje za ur�cen �y nebo ur�citeln �y, jestli�ze lzesubjekt �udaj �u p�r��mo �ci nep�r��mo identi�kovatzejm �ena na z �aklad�e �c��sla, k �odu nebo jednoho �ci v��ce prvk �u,speci�ck �ych pro jeho fyzickou, fyziologickou, psychickou,ekonomickou, kulturn�� nebo soci �aln�� identitu


�Cesk �a legislativa v oblasti informa�cn�� bezpe�cnosti

2 Z �akon �c. 240/2000 Sb., o krizov �em �r��zen��

X stanovuje p �usobnost a pravomoc st �atn��ch org �an �u a org �an �u �uzemn��chsamospr �avn �ych celk �u a pr �ava a povinnosti pr �avnick �ych a fyzick �ychosob p�ri p�r��prav�e na krizov �e situace, kter �e nesouvisej�� se zaji�st'ov �an��mobrany �Cesk �e republiky p�red vn�ej�s��m napaden��m

2 Z �akon �c. 365/2000 Sb., o informa�cn��ch syst �emech ve�rejn �e

spr �avy

X Ex. vyhl �a�ska �c. 529/2006 Sb., o po�zadavc��ch na strukturu a obsahinforma�cn�� koncepce a provozn�� dokumentace a o po�zadavc��chna �r��zen�� bezpe�cnosti a kvality informa�cn��ch syst �em�u ve�rejn �e spr �avy(vyhl �a�ska o dlouhodob �em �r��zen�� informa�cn��ch syst �em�u ve�rejn �e spr �avy)


�Cesk �a legislativa v oblasti informa�cn�� bezpe�cnosti

2 Z �akon �c. 480/2004 Sb., o n�ekter �ych slu�zb �ach inf. spole�cnosti

X slu�zbou informa�cn�� spole�cnosti se rozum�� jak �akoliv slu�zba poskytovan �aelektronick �ymi prost�redky na individu �aln�� z �adost u�zivatele podanouelektronick �ymi prost�redky, poskytovan �a zpravidla za �uplatu;

X slu�zba je poskytnuta elektronick �ymi prost�redky, pokud je odesl �anaprost�rednictv��m s��t �e elektronick �ych komunikac�� a vyzvednutau�zivatelem z elektronick �eho za�r��zen�� pro ukl �ad �an�� dat

2 Z �akon �c. 127/2005 Sb., o elektronick �ych komunikac��ch

2 Z �akon �c. 412/2005 Sb., o ochran�e utajovan �ych informac�� a

o bezpe�cnostn�� zp �usobilosti

X Ex. na�r��zen�� vl �ady �c. 522/2005 Sb., kter �ym se stanov�� seznamyutajovan �ych informac��

X Ex. vyhl �a�ska �c. 523/2005 Sb., o bezpe�cnosti informa�cn��ch akomunika�cn��ch syst �em�u a dal�s��ch elektronick �ych za�r��zen�� nakl �adaj��c��chs utajovan �ymi informacemi


Z �akon �c. 181/2014 Sbb., o kybernetick �e bezpe�cnosti, ideje

2 Z �akon nedot �yk �a u�zivatel �u ani poskytovatel �u obsahu ve

slu�zb �ach informa�cn�� spole�cnosti

X dot�cen �e org �any a osoby v oblasti kybernetick �e bezpe�cnosti jsousubjekty spravuj��c�� speci�ck �e informa�cn�� a komunika�cn�� syst �emy

speci�ck �e = za�razen �e do kritick �ych a v �yznamn �ych informa�cn��ch akomunika�cn��ch syst �em�u pro bezpe�cnost st �atu a v �ykon spr �avy st �atu

2 C��l: zaji�st �en�� bezpe�cn �eho fungov �an�� informa�cn�� spole�cnosti �CR

X zaji�st �en�� bezpe�cn �e realizace z �akladn��ho pr �ava na informa�cn�� sebeur�cen��prost�rednictv��m informa�cn��ch syst �em�u, slu�zeb a s��t�� elektronick �ychkomunikac��

X nezasahuje do obsahov �eho fungov �an�� informa�cn�� spole�cnosti,ale pouze si klade za c��l zabezpe�cit proti �umysln �ym nebo nahodil �ymkybernetick �ym bezpe�cnostn��m incident �um informa�cn�� kan �aly,jimi�z �clov�ek realizuje sv �e pr �avo na informa�cn�� sebeur�cen��a jimi�z st �at vykon �av �a sv �a nedistributivn�� informa�cn�� pr �ava.


Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti, ideje

2 Stanovuje minim �aln�� po�zadavky na standardn�� zabezpe�cen��

kritick �e informa�cn�� infrastruktury a v �yznamn �ych

informa�cn��ch syst �em�u

2 Zav �ad�� podm��nky spolupr �ace mezi soukromopr �avn��m

n �arodn��m dohledov �ym pracovi�st�em (n �arodn�� CERT) a

vl �adn��m CERT

X CERT { Computer Emergency Response Team2 Syst �em kybernetick �e bezpe�cnosti podle z �akona zahrnuje

X Bezpe�cnostn�� opat�ren��

X Detekce kybernetick �ych bezpe�cnostn��ch ud �alost��

X Hl �a�sen�� kybernetick �ych bezpe�cnostn��ch incident �u

X Syst �em opat�ren�� k reakci na kybernetick �e bezpe�cnostn�� incidenty

X �Cinnost dohledov �ych pracovi�st' (n �arodn�� CERT a vl �adn�� CERT).



2 NBU (Narodnı Bezpecnostnı Urad) vyd �av �a podle tohoto z �akona

vyhl �a�sky o kybernetick �e bezpe�cnosti

X vyhl �a�ska 316/2014 Sb.,

Vyhl �a�ska o bezpe�cnostn��ch opat�ren��ch, kybernetick �ych bezpe�cnostn��chincidentech, reaktivn��ch opat�ren��ch ao stanoven�� n �ale�zitost�� pod �an�� v oblasti kybernetick �e bezpe�cnosti

(vyhlaska o kyberneticke bezpecnosti) stanovuje{ obsah a strukturu bezpe�cnostn�� dokumentace,

{ obsah bezpe�cnostn��ch opat�ren�� a rozsah jejich zaveden��,

{ typy a kategorie kybernetick �ych bezpe�cnostn��ch incident �u,

{ n �ale�zitosti a zp �usob hl �a�sen�� kybernetick �eho bezpe�cnostn��hoincidentu,

{ n �ale�zitosti ozn �amen�� o proveden�� reaktivn��ho opat�ren��a jeho v �ysledku a

{ vzor oznamov �an�� kontaktn��ch �udaj �u a jeho formu



2 NBU (Narodnı Bezpecnostnı Urad) vyd �av �a podle tohoto z �akona

vyhl �a�sky o kybernetick �e bezpe�cnosti

X vyhl �a�ska 317/2014 Sb.,

Vyhl �a�ska o v �yznamn �ych informa�cn��ch syst �emech ajejich ur�cuj��c��ch krit �eri��ch stanovuje

{ ur�cuj��c�� krit �eria v �yznamn �ych informa�cn��ch syst �em�u

{ v �y�cet v �yznamn �ych informa�cn��ch syst �em�u


Obecn �e na�r��zen�� o ochran�e osobn��ch �udaj �u, OU

2 GPDR, General Data Protection RegulationX NA �R�IZEN�I EVROPSK �EHO PARLAMENTU A RADY (EU) 2016/679

ze dne 27. dubna 2016 o ochran�e fyzick �ych osob v souvislostise zpracov �an��m osobn��ch �udaj �u a o voln �em pohybu t�echto �udaj �u

2 Plat�� pro organizace p �usob��c�� v v EU

X v�c. pro organizace extern�� v �u�ci EU, pokud vykon �avaj�� cinnost v EU

X v pln �em zn�en�� plat�� pro organizace s v��ce ne�z 250 zam�estnanci,men�s�� organizace maj�� radu v �yjimek

2 Nevztahuje na zpracov �an�� OU fyzickou osobou v r �amci

�cinnosti �cist �e osobn�� povahy nebo �cinnosti prov �ad�en �e

v �yhradn�e v dom�acnosti, a tedy bez jak �ekoliv souvislosti

s profesn�� nebo obchodn�� cinnost��.

2 Nevztahuje na OU zesnul �ych osob


B �azov �e pojmy a de�nice

2 osobn�� udaje, personal data, OU

X ve�sker �e informace o identi�kovan �e nebo identi�kovateln �e fyzick �eosob�e (subjektu �udaj �u), kter �e lze pou�z��t pro identi�kaci subjektu �udaj �u

X Identi�kovateln �a fyzick �a osoba je osoba, kter �a m�u�ze b �ytidenti�kov �ana p�r��mo nebo nep�r��mo, zejm �ena odkazem naidenti�k �ator, jako je jm �eno, identi�ka�cn�� c��slo, �udaje o poloze,on-line identi�k �ator nebo jeden nebo v��ce faktor �u speci�ck �ych profyzick �e, fyziologick �e, genetick �e, ment �aln��, ekonomick �e, kulturn��nebo soci �aln�� toto�znosti t �eto fyzick �e osoby

X jm �eno, identi�ka�cn�� c��slo, loka�cn�� udaje, s��t'ov �y identi�k �ator nebojeden �ci v��ce zvl �a�stn��ch prvk �u fyzick �e, fyziologick �e, genetick �e,psychick �e, ekonomick �e, kulturn�� nebo spole�censk �e identity subjektu

X na form�atu nez �ale�z�� (fotogra�e, text, . . . )

X Za ur�cit �ych okolnost�� jsou OU i adresa IP, barva vlas �u,pracovn�� nebo politick �e n �azory



X Za ur�cit �ych okolnost�� . . . ???

,,radn��" nen�� OU

,,zrzek" nen�� OU

,,Ti�snov" nen�� OU

,,zrzek" z ,,Ti�snova" asi nebudou OU

,,zrzek" a ,,radn��" z ,,Ti�snova" u�z OU mo�zn �a mohou b �yt

2 zpracov �an��, processing

X jak �akoliv operace nebo soubor operac�� s OU nebo soubory OUkter �y je prov �ad�en pomoc�� ci bez pomoci automatizovan �ych postup �u

X shrom�a�zd�en��, zaznamen �an��, uspo�r �ad �an��, strukturov �an��, ulo�zen��,p�rizp �usoben�� nebo pozm�en�en��, vyhled �an��, nahl �ednut��, pou�zit��,zp�r��stupn�en�� p�renosem, �s��ren�� nebo jak �ekoliv jin �e zp�r��stupn�en��,se�razen�� ci zkombinov �an��, omezen��, v �ymaz nebo zni�cen��



2 pro�lov �an��, profilingX jak �akoli forma automatizovan �eho zpracov �an�� OU

spo�c��vaj��c�� v jejich pou�zit�� k hodnocen�� n�ekter �ych osobn��ch aspekt �uvztahuj��c��ch se k fyzick �e osob�e, zejm �ena k rozboru nebo odhaduaspekt �u t �ykaj��c��ch se jej��ho pracovn��ho v �ykonu, ekonomick �e situace,zdravotn��ho stavu, osobn��ch preferenc��, z �ajm�u, spolehlivosti, chov �an��,m��sta, kde se nach �az��, nebo pohybu

X subjekt mus�� b �yt o ka�zd �em pro�lovac��m procesu nad jeho daty d�r��ve,ne�z d �a k n�emu souhlas

2 pseudonymizace, pseudonymisationX zpracov �an�� OU tak, �ze ji�z nemohou b �yt p�ri�razeny

konkr �etn��mu subjektu �udaj �u bez pou�zit�� dodate�cn �ych informac��, pokudjsou tyto dodate�cn �e informace uchov �av �any odd�elen�e a vztahuj�� se nan�e technick �a a organiza�cn�� opat�ren��, aby bylo zaji�st �eno, �ze nebudoup�ri�razeny identi�kovan �e �ci identi�kovateln �e fyzick �e osob�e



2 spr �avce, controller

X fyzick �a nebo pr �avnick �a osoba, org �an ve�rejn �e moci, agentura nebo jin �ysubjekt, kter �y s �am nebo spole�cn�e s jin �ymi ur�cuje �u�cely a prost�redkyzpracov �an�� OU

X spr �avce m�u�ze m��t (v�zdy smluvn�e v �azan �ych) v��ce zpracovatel �u

X spr �avce zav �ad�� vhodn �a technick �a a organiza�cn�� opat�ren��,aby zajistil a byl schopen dolo�zit, �ze zpracov �an�� je prov �ad�enov souladu s GPDR

2 zpracovatel, processor

X fyzick �a nebo pr �avnick �a osoba, org �an ve�rejn �e moci, agentura nebo jin �ysubjekt, kter �y zpracov �av �a OU pro spr �avce



2 souhlas, consent

X jak �ykoli svobodn �y, konkr �etn��, informovan �y a jednozna�cn �y projev v �ule,kter �ym subjekt �udaj �u d �av �a prohl �a�sen��m �ci jin �ym zjevn �ym potvrzen��msv �e svolen�� ke zpracov �an�� sv �ych OU

X Ml�cen��, p�redem za�skrtnut �a pol��cka nebo ne�cinnostnemohou b �yt pova�zov �any za souhlas

X Subjekt �udaj �u m�a pr �avo sv �uj souhlas kdykoli odvolat.Odvol �an��m souhlasu nen�� dot�cena z �akonnost zpracov �an�� vych �azej��c��hoze souhlasu, kter �y byl d �an p�red jeho odvol �an��m.

2 poru�sen�� zabezpe�cen�� OU, personal data breach

X poru�sen�� zabezpe�cen��, kter �e vede k n �ahodn �emu nebo protipr �avn��muzni�cen��, ztr �at�e, zm�en�e nebo neopr �avn�en �emu poskytnut�� nebozp�r��stupn�en�� p�ren �a�sen �ych, ulo�zen �ych nebo jinak zpracov �avan �ych OU



2 zvl �a�stn�� kategorie OU { Zakazuje se jejich zpracov �an��

X vypov��daj�� o rasov �em �ci etnick �em p�uvodu, politick �ych n �azorech,n �abo�zensk �em vyzn �an�� ci �lozo�ck �em p�resv�ed�cen�� nebo �clenstv��v odborech, a zpracov �an�� genetick �ych �udaj �u, biometrick �ych �udaj �u za�u�celem jedine�cn �e identi�kace fyzick �e osoby a �udaj �u o zdravotn��m stavu�ci o sexu �aln��m �zivot�e nebo sexu �aln�� orientaci fyzick �e osoby

X V �yjimky:

subjekt �udaj �u ud�elil v �yslovn �y souhlas, zpracov �an�� je nezbytn �e pro�u�cely pln�en�� povinnost�� a v �ykon zvl �a�stn��ch pr �av spr �avce nebosubjektu, zpracov �an�� prov �ad�� v r �amci sv �ych opr �avn�en �ych �cinnost��,zpracov �an�� je nezbytn �e pro ur�cen��, v �ykon nebo obhajobu pr �avn��chn �arok �u, zpracov �an�� je nezbytn �e z d �uvod �u ve�rejn �eho z �ajmuv oblasti ve�rejn �eho zdrav��, . . .



2 evidence, filing system

X jak �ykoliv strukturovan �y soubor OU p�r��stupn �ych podlezvl �a�stn��ch krit �eri��, at' ji�z je centralizovan �y, decentralizovan �y,nebo rozd�elen �y podle funk�cn��ho �ci zem�episn �eho hlediska

X generick �y pojem pokr �yvaj��c�� v�sechny metody zach �azen�� s os. �udaji


Z �asady zpracov �an�� osobn��ch �udaj �u { Osobn�� udaje mus�� b �yt:

X zpracov �av �any korektn�e a z �akonn �ym a transparentn��m zp �usobem {

z �akonnost, korektnost a transparentnost

X shroma�zd'ov �any pro ur�cit �e, v �yslovn�e vyj �ad�ren �e a legitimn�� u�cely {

�u�celov �e omezen��

X p�rim�e�ren �e, relevantn�� a omezen �e na nezbytn �y rozsah ve vztahuk �u�celu, pro kter �y jsou zpracov �av �any {

minimalizace �udaj �u

X p�resn �e a v p�r��pad�e pot�reby aktualizovan �e {

p�resnost

X ulo�zeny ve form�e umo�z �nuj��c�� identi�kaci subjekt �u �udaj �u po dobune del�s��, ne�z je nezbytn �e pro �u�cely, pro kter �e jsou zpracov �av �any {

omezen�� ulo�zen��

X zpracov �av �any zp �usobem, kter �y zajist�� n �ale�zit �e zabezpe�cen�� OU {

odpov�ednost


Pr �ava subjektu �udaj �u

2 pr �avo z��skat od spr �avce potvrzen��, zda OU, kter �e se ho t �ykaj��,

jsou �ci nejsou zpracov �av �any, a pokud je tomu tak, m �a

pr �avo je z��skat, a k tomu i

X �u�cely zpracov �an��, id p�r��jemc �u, info o dob�e,po kterou budou OU ulo�zeny, . . .

2 pr �avo na to, aby spr �avce bez zbyte�cn �eho odkladu opravil

nep�resn �e OU, kter �e se ho t �ykaj��

2 Pr �avo na v �ymaz (pr �avo b �yt zapomenut)

X neplat�� u�z �u�cel, protipr �avn�� zdroj, . . .

X ex. v �yjimky { ve�rejn �y z �ajem, obhajoba pr �avn��ch n �arok �u, . . .

2 pr �avo z��skat OU, kter �e se ho t �ykaj��, je�z poskytl spr �avci, ve

strukturovan �em, b�e�zn�e pou�z��van �em a strojov�e �citeln �em

form�atu, a p�redat tyto �udaje jin �emu spr �avci


Pr �ava subjektu �udaj �u

2 pr �avo neb �yt p�redm�etem �z �adn �eho rozhodnut�� zalo�zen �eho

v �yhradn�e na automatizovan �em zpracov �an��, v�cetn�e

pro�lov �an��, kter �e m�a pro n�eho pr �avn�� u�cinky nebo se ho

obdobn �ym zp �usobem v �yznamn�e dot �yk �a

2 . . .

2 Pr �avo na ochranu OU nen�� pr �avem absolutn��m; mus�� b �yt

posuzov �ano v souvislosti se svou funkc��

ve spole�cnosti a v souladu se z �asadou proporcionality

mus�� b �yt v rovnov �aze s dal�s��mi z �akladn��mi pr �avy


Spr �avce / zpracovatel / dozorov �y �u�rad

2 Spr �avce vyu�z��v �a pouze ty zpracovatele, kte�r�� poskytuj��

dostate�cn �e z �aruky zaveden�� vhodn �ych technick �ych a

organiza�cn��ch opat�ren��

X Nap�r. potvrd�� urove �n zaji�st �en�� InfSec certi�k �atem ISO 27001

X Spr �avce je odpov�edn �y za proh�re�sky zpracovatele

2 Jak �ekoli poru�sen�� zabezpe�cen�� OU spr �avce bez zbyte�cn �eho

odkladu a pokud mo�zno do 72 hodin od okam�ziku, kdy se

o n�em dozv�ed�el, ohl �as�� dozorov �emu �u�radu

X


D�ule�zit �a dokumentace

2 Dokumentace jak organizace vyhovuje GPDR

2 Dokumentace jak organizace zabezpe�cuje evidenci OU

politiky, ISMS, . . . , idealn�e certi�kac�� ISO/IEC 27001

2 Za kvalitu dokumentace spr �avce i zpracovatele odpov��d �a

spr �avce

2 Zvl �a�st�e d �ule�zit �e dokumenty

X V �y�cet shroma�zd'ovan �ych a zpracov �avan �ych OU adeklarace �u�celu zpracov �an��

X Souhlasy se zpracov �av �an��m OU

X Z �aznamy o �cinnostech zpracov �an�� OU


Pov�e�renec pro ochranu osobn��ch �udaj �u

2 Data Protection Officer, DPO

2 Role DPO v organizaci se zav �ad�� kdy

X zpracov �an�� prov �ad�� org �an ve�rejn �e moci �ci ve�rejn �y subjekt

X hlavn�� cinnosti spr �avce nebo zpracovatele spo�c��vaj�� v operac��chzpracov �an��, kter �e kv �uli sv �e povaze, sv �emu rozsahu nebo sv �ym �u�cel �umvy�zaduj�� rozs �ahl �e pravideln �e a systematick �e monitorov �an�� subjekt �u

X hlavn�� cinnosti spr �avce nebo zpracovatele spo�c��vaj�� v rozs �ahl �emzpracov �an�� zvl �a�stn��ch kategori�� OU

2 DPO m�u�ze b �yt outsourcovan �y, sd��len �y v��ce organizacemi, . . .

2 DPO rad��, monitoruje, spolupracuje s dozorov �ym org �anem


Posouzen�� vlivu na ochranu osobn��ch �udaj �u

2 Data Protection Impact Assessment, DPIA

X Pokud je pravd�epodobn �e, �ze ur�cit �y druh zpracov �an��, zejm �ena p�rivyu�zit�� nov �ych technologi��, bude s p�rihl �ednut��m k povaze, rozsahu,kontextu a �u�cel �um zpracov �an�� bude m��t za n �asledek vysok �e riziko propr �ava a svobody fyzick �ych osob, provede spr �avce p�red zpracov �an��mposouzen�� vlivu zam �y�slen �ych operac�� zpracov �an�� na ochranu OU

2 Pro DPIA dod �av �a posudek DPO

2 Seznam druh �u operac�� zpracov �an��, kter �e podl �ehaj�� po�zadavku

na posouzen�� vlivu na ochranu OU sestavuje a zve�rej �nuje

dozorov �y �u�rad


P�r��klad: Cookies a GDPR

2 Co to jsou cookies ?

X textov �e soubory generovan �e webov �ym serverem aukl �adan �e v po�c��ta�ci prost�rednictv��m prohl��ze�ce

X �u�cel: identi�kace u�zivatele, autentizace,charakteristiky u�zivatele, relace, . . .

2 GDPR, �cl �anek 30

X Fyzick �ym osob �am mohou b �yt p�ri�razeny s��t'ov �e identi�k �atory,kter �e vyu�z��vaj�� jejich za�r��zen��, aplikace, n �astroje a protokoly,jako nap�r��klad adresy internetov �eho protokolu �ci identi�k �atorycookies, nebo jin �e identi�k �atory, jako jsou �st��tky pro identi�kacina z �aklad�e r �adiov �e frekvence. T��mto zp �usobem mohou b �yt zanech �anystopy, kter �e mohou b �yt zejm �ena v kombinaci s jedine�cn �ymiidenti�k �atory a dal�s��mi informacemi, kter �e servery z��sk �avaj��,pou�zity k pro�lov �an�� fyzick �ych osob a k jejich identi�kaci.


P�r��klad: Cookies a GDPR

2 Kdy�z cookies mohou identi�kovat jednotlivce p�res jejich

za�r��zen��, pova�zuj�� se za osobn�� udaje

X Ne ka�zd �e cookie je identi�ka�cn�� !

2 Probl �emy s cookies z pohledu GDPR

X Implicitn�� souhlas s pou�z��v �an��m cookies nen�� dostate�cn �y,pouh �e nav�st��ven�� str �anky se nepova�zuje za ud�elen�� souhlasu

X Stejn�e tak nen�� dostate�cn �ym souhlasem sd�elen�� na str �anceBy using this site, you accept cookies

X Mus�� b �yt stejn�e snadn �e souhlas odvolat, jako jej d �at,mus�� b �yt poskytnut �y mechanismus, jak se jednotlivec m�u�ze vyv �azatz ne�z �adouc�� slu�zby cookies (opt-out option)


standardy (normy) a legislativa informacn bezpecnosti...ietf,internet engineering task force 2...

Documents