Jak ilustruje obr. 14, proces řízení rizika informační bezpečnosti může být iterativní pro hodnocení rizik anebo pro činnosti spojené s odstraňováním rizik. Iterativní přístup k provádění hodnocení rizik může zvýšit hloubku a podrobnosti hodnocení při každé iteraci.
Retrospektivní přístup zajišťuje dobrou rovnováhu mezi minimalizací času a úsilím vynaložených při identifikaci kontrol a současně zajišťuje, aby byla řádně vyhodnocena zvýšená rizika.
Hrozba má potenciál poškodit informace, procesy a systémy a tedy i organizaci. Hrozby mohou být přírodního nebo lidského původu a mohou být náhodné nebo úmyslné. Měly by být identifikovány jak náhodné, tak záměrné zdroje ohrožení. Hrozba může vzniknout uvnitř organizace nebo mimo ni. Hrozby by měly být identifikovány obecně a podle typu (např. neoprávněnými akcemi, fyzickým poškozením, technickými poruchami) a případně individuálními hrozbami v rámci identifikované generické třídy. To znamená, že se nepřehlíží žádná hrozba, včetně neočekávaného, ale požadovaný objem práce je omezen.
Možnosti řešení rizik by měly být vybrány na základě výsledků posouzení rizik, očekávaných nákladů na provádění těchto možností a očekávaných přínosů z těchto možností. Pokud lze s relativně nízkými výdaji dosáhnout velkého snížení rizik, měly by být tyto možnosti realizovány. Další možnosti zlepšení mohou být nehospodárné a je třeba posoudit, zda jsou opodstatněné. (ČSN ISO/IEC 27005:2013)
4.2.7 ISO 9000
ISO 9000 se zaměřuje na specifické požadavky vzniklé v situacích, které jak ukázaly zkušenosti, vedly ke špatné kvalitě výrobků. ISO 9000 se zaměřuje na osm principů řízení kvality, které při efektivním uplatňování vedou ke spokojenosti všech zúčastněných stran.
Jedná se o zásadní změnu, která brání tomu, aby nedošlo k neúspěchu.
ISO 9000 vysvětluje pojmy a zásady a definuje pojmy.
ISO 9001 specifikuje požadavky na posouzení schopnosti organizací splňovat požadavky zákazníků a příslušné regulační požadavky - není to specifikace návrhu pro systém řízení kvality.
ISO 9004 obsahuje pokyny pro zlepšení výkonu. Ačkoli to není návod pro ISO 9001, ani to není specifikace návrhu.
Tato norma se jednoduše zaměřuje na ty aspekty systému řízení podniku, které slouží k uspokojení požadavků a očekávání zákazníků. Jiné normy se zaměřují na aspekty životního prostředí nebo bezpečnosti tohoto systému. Není zamýšleno, aby organizace vytvořila více
probíhala způsobem, který uspokojí zákazníky, chrání životní prostředí, zajišťuje informace a chrání zdraví a bezpečnost jednotlivců. (Hoyle, 2001)
Definice kvality podle ISO uvádí, že kontrola kvality je součástí řízení kvality zaměřené na splnění požadavků. Mezi osmi principy řízení kvality a modelem Business Excellence, který používají British Quality Foundation a European Foundation for Quality Management (EFQM), existuje velmi blízká podoba. Model Business Excellence se skládá z devíti kritérií, která se používají k hodnocení silných stránek organizace a měření jejího pokroku. Model je založen na předpokladu, že spokojenost zákazníků, spokojenost zaměstnanců a dopad na společnost jsou dosaženy prostřednictvím politiky řízení a strategie vedení, řízení lidských zdrojů, partnerství a procesů, které vedou nakonec k dokonalosti v obchodních výsledcích. Těchto devět kritérií podporuje osm základních pojmů, které mají určitou podobnost s osmi principy řízení kvality. Všechny pojmy jsou uvedeny a vysvětleny v následující tabulce.
Tabulka 3: Porovnání mezi principy Business Excellence a normou ISO 9000 Koncept Business Excellence Principy ISO 9000 Zaměření na zákazníka
Zákazník je konečným soudcem kvality produktů a služeb a věrnosti zákazníků.
Růstu na trhu je dosaženo díky jasnému zaměření na potřeby současných i
prostředí, ve kterém může organizace a její lidé vyniknout.
Vedení
Vedoucí představují jednotu účelu a směru organizace. Měly by vytvářet a udržovat vnitřní prostředí, v němž se lidé mohou plně podílet na dosahování cílů organizace.
Rozvoj a zapojení lidí
Plný potenciál zaměstnanců organizace se nejlépe uvolní prostřednictvím sdílených hodnot a kultury důvěry a posílení, která podporuje účast všech.
propojených procesů jako jednoho systému přispívá k efektivitě a efektivitě organizace při dosahování jejích cílů.
Průběžné učení, inovace a zlepšení Organizační výkonnost je maximalizována, pokud je založena na řízení a sdílení
znalostí v rámci kultury kontinuálního důvěře, sdílení znalostí a integraci se svými partnery.
Zdroj: D. Hoyle, ISO 9000 Quality Systems Handbook
4.2.8 ISO 9001
ISO 9001 v zásadě vyžaduje, aby organizace:
Určila potřeby a očekávání zákazníků a dalších zainteresovaných stran.
Vytvořila politiky, cíle a pracovní prostředí nezbytné k tomu, aby organizace motivovala k uspokojování těchto potřeb.
Navrhla, využívat a řídit systém propojených procesů nezbytných pro implementaci politiky a dosažení cílů.
Měřila a analyzovala přiměřenosti a účinnosti každého procesu při plnění jeho účelu a cílů.
Pokračovala v neustálém zlepšování systému na základě objektivního hodnocení jeho výkonu.
4.3 Nakládání s citlivými daty
Do ochrany dat nepatří pouze ochrana proti průniku nebo zneužití, ale i samotné způsoby nakládání s citlivými daty. V posledních letech je nejvíce diskutovaným právním předpisem v této oblasti nařízení GDPR Evropské unie, které začalo platit minulý rok.
Evropská unie se tímto dokumentem snaží o sjednocení podmínek pro bezpečnost nakládání s daty a sjednocení kvality dodávaných služeb v rámci všech členských zemí, ale i zemí, které v Evropské unii pouze podnikají.
4.3.1 Předchozí právní předpisy
Před více než 20 lety Evropské společenství (nyní Evropská unie) pociťovalo potřebu sladit normy ochrany údajů v rámci svých členských států s cílem usnadnit přeshraniční přenosy údajů v rámci EU. V té době národní právní předpisy o ochraně údajů poskytovaly značně odlišné úrovně ochrany a nemohly nabídnout právní jistotu - ani pro jednotlivce, ani pro správce údajů a zpracovatele. V roce 1995 proto Evropské společenství přijalo směrnici Evropského parlamentu a Rady 95/46/EC. o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (zkráceně směrnice o ochraně údajů) za účelem harmonizace ochrany základních práv jednotlivců, zpracování údajů a zajištění volného toku osobních údajů mezi členskými státy EU. Evropské směrnice nejsou přímo použitelné ve všech členských státech EU, ale musí být transponovány do vnitrostátního práva. Vyžadují tedy prováděcí opatření v každém členském státě EU. Směrnice o ochraně údajů nesplnila své cíle a nezajistila úroveň ochrany údajů v rámci EU. Vznikly tak rozdíly v implementaci mezi různými členskými státy EU. Činnosti zpracování dat, které byly povoleny v jednom členském státě EU, by mohly být protiprávní v jiném, pokud jde o konkrétní provádění zpracování údajů.
(Voigt, 2017)
4.3.2 General Data Protection Regulation (GDPR)
V roce 2016 bylo přijato nařízení GDPR, která nahradilo směrnici o ochraně údajů z roku 1995. Toto nové nařízení je výsledkem tvrdého procesu vyjednávání, který zahrnoval řadu změn v jeho textu, a který trval čtyři roky do přijetí konečného nařízení. Na rozdíl od směrnice o ochraně osobních údajů se nařízení přímo vztahuje na všechny členské státy EU a nevyžaduje žádná další implementační opatření. Vyrovnáváním pravidel pro ochranu údajů povede GDPR k větší právní jistotě a odstranění potenciálních překážek volného pohybu osobních údajů. Společnosti budou čelit novým povinnostem v oblasti ochrany údajů, jakož i posílení již existujících povinností. Zákonodárci vzali v úvahu výzvy globální ekonomiky, nové technologie a nové obchodní modely, a proto vytvořili velmi široký rozsah působnosti, který bude mít vliv na mnoho společností. Vzhledem k tomu, že byly výrazně zvýšeny nejen povinnosti týkající se ochrany údajů, ale i hrozící pokuty, měly by společnosti pečlivě reorganizovat své vnitřní postupy pro ochranu údajů, aby dosáhly souladu s nařízením GDPR. (Voigt, 2017)
GDPR platí ve všech členských státech EU, ale jeho dosah je mnohem širší. Jakákoli organizace kdekoli na světě, která poskytuje služby do EU a která zahrnuje zpracování osobních údajů, bude muset tomuto nařízení vyhovět. To znamená, že GDPR je pravděpodobně nejvýznamnějším zákonem o bezpečnosti dat na světě. Přestože staví na práci směrnice EU o ochraně údajů (DPD), amerického systému HIPAA a různých dalších režimů ochrany údajů, lze ho považovat za evoluci a komplexní aktualizaci cílů EU v oblasti ochrany práv a svobod lidí, kteří v ní žijí. (IT Governance, 2017)
Jednotný zákon je účinnějším způsobem, jak dosáhnout dvou klíčových cílů:
1. Ochrana práv, soukromí a svobod fyzických osob v EU.
2. Snižování překážek obchodu usnadňováním volného pohybu údajů v celé EU.
Orgány mohou nově ukládat pokuty na různých úrovních. Pro porušení většiny technických pravidel, až dvě procenta z globálního ročního obratu nebo deset milionů Euro, podle toho, která částka je vyšší. Za porušení základních zásad a za přitěžujících okolností, jako je nedodržení pokynů orgánů pro ochranu údajů, opakované porušování
celkového ročního obratu nebo dvacet milionů Euro, podle toho, která částka je vyšší.
(Moore, 2018)
Organizace budou muset vynaložit značné úsilí na to, aby na ochranu osobních údajů dosáhla souladu s nařízením GDPR. Musí být splněny různé organizační požadavky, avšak ne každý odstavec v GDPR se vztahuje na každou organizaci. Některé články jsou relevantní pouze pro komisi, správní radu nebo orgány dohledu, může být ve skutečnosti nemožné, aby se každý článek vztahoval k jedné organizaci. V mnoha případech může být zcela relevantní pouze několik článků. (IT Governance, 2017)
Osobními údaji dle definice GDPR se myslí veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby; identifikovatelná fyzická osoba je osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na identifikátor, jako je název, identifikační číslo, údaje o poloze, online identifikátor nebo jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby.
Záznamy o zpracovatelských činnostech
Kontroloři a zpracovatelé budou muset implementovat záznamy o svých činnostech zpracování dat, které umožní prokázat shodu s nařízením dohlížejících orgánů a plnit tak informační povinnosti. Záznamy musí mimo jiné obsahovat informace o účelech zpracování, o kategoriích dotčených údajů a popis uplatňovaných technických a organizačních bezpečnostních opatření.
Určení inspektora ochrany údajů
Soukromé subjekty jsou povinny jmenovat inspektora ochrany údajů, pokud jejich hlavní činnosti, tj. činnosti, které jsou rozhodující pro jejich podnikatelskou strategii, spočívají v pravidelném a systematickém monitorování osobních údajů nebo zpracování zvláštních kategorií osobních údajů (např. údajů o zdravotním stavu) ve velkém měřítku. Skupiny podniků mohou svobodně určit jednoho inspektora ochrany údajů pro všechny nebo několik subjektů skupiny. Každý inspektor ochrany údajů musí být jmenován na základě svých odborných znalostí a odborných kvalifikací, aby bylo zajištěno, že bude moci
úspěšně plnit své povinnosti, jako je například sledování plnění požadavků GDPR organizací. (Voigt, 2017)
Posouzení dopadů na ochranu údajů
Pokud je pravděpodobné, že zamýšlená zpracovatelská činnost, zejména s využitím nových technologií, povede k vysokému riziku pro práva a svobody subjektů, musí organizace provést preventivní posouzení dopadů ochrany údajů s cílem určit vhodná opatření ke zmírnění rizik pro ochranu těchto údajů. Pokud výsledky posouzení neumožňují organizaci určit, která ochranná opatření mohou být uplatněna, bude muset tuto problematiku konzultovat s dohlížejícími orgány.
Ochrana dat podle návrhu a standardu
GDPR klade důraz na koncepty preventivní ochrany dat. Vzhledem k tomu, že povinnost vyvíjet a zavádět tyto koncepty je přímo vynutitelná, organizace by se měly zabývat koncepcemi „ochrana soukromí podle návrhu“ a „soukromí jako základ“. Jedná se zejména o subjekty, jejichž zpracovatelské činnosti spočívají ve zpracování obrovského množství osobních údajů.
Technická a organizační opatření
Organizace musí zavést technická a organizační opatření k zajištění ochrany osobních údajů. Příslušná úroveň ochrany údajů musí být stanovena na základě rizikového potenciálu, který odpovídá činnostem organizace v jednotlivých případech.
Práva na údaje
Jednotlivci budou mít komplexní informace a další práva vůči subjektům zpracovávajícím údaje. Ti budou muset aktivně plnit řadu povinností vůči jednotlivcům, jejichž údaje spravují, jako je poskytování informací o zpracování, vymazávání osobních údajů nebo opravování neúplných osobních údajů. Zejména právo jednotlivců na vystavení údajů, kdy organizace budou muset na požádání poskytovat svým zákazníkům veškeré soubory údajů, které o nich vlastní.
Oznámení o narušení dat
V případě narušení ochrany osobních údajů zavádí GDPR obecnou informační povinnost správce vůči kontrolním orgánům. K takovému porušení může dojít prostřednictvím technického nebo fyzického incidentu. Oznámení musí proběhnout ve lhůtě 72 hodin od zjištění narušení. V případě incidentu s vysokým rizikem pro práva a svobody dotčených subjektů bude správce povinen sdělit porušení i těmto osobám. V takovém případě bude kontrolnímu orgánu k dispozici pomoc dohlížejícího úřadu.
Systém ochrany dat
Tam, kde je to proveditelné na základě rozpočtu a zdrojů organizace, by mohl být soulad s GDPR implementován a monitorován prostřednictvím systému pro ochranu dat. Jedná se o interní systém, který bude sledovat plnění požadavků na ochranu dat a bezpečnosti.
Jmenování zástupce osobami, které nejsou členy EU
Subjekty, které spadají do oblasti působnosti nařízení o GDPR, aniž by měly sídlo v EU, jsou povinny jmenovat zástupce se sídlem v EU. Tyto orgány slouží jako kontaktní místo pro jednotlivce a orgány dohledu.
Právní základy zpracování
Jakékoli zpracování dat je zakázáno, pokud to není zákonem odůvodněno. Většina dostupných právních základů pro zpracování podle GDPR byla již stanovena ve směrnici o ochraně údajů. Požadavky na získání platného souhlasu byly zpřísněny. Další zákonná oprávnění ke zpracování zahrnují jeho smluvní nutnost nebo převažující oprávněné zájmy správce. Změna účelu zpracování údajů je navíc přípustná pouze v omezených případech.
Činnosti v rámci skupiny
GDPR nestanovuje žádné výjimky pro skupiny firem a každý subjekt skupiny tak bude odpovědný za své vlastní standardy ochrany údajů. Přenos dat uvnitř skupiny firem musí být obecně odůvodněn zákonem ve stejném rozsahu jako předávání údajů třetím stranám.
Zvláštní kategorie osobních údajů
Zvláštní kategorie osobních údajů se mimo jiné týkají politických názorů, náboženských či filozofických názorů či zdraví jednotlivce. Zaslouží si zvláštní ochranu a zpracování těchto údajů musí podléhat příslušným zárukám založeným na jejich vysoké rizikovosti.
Vzhledem k tomu, že údaje o lidských zdrojích obvykle obsahují informace o zdravotním stavu zaměstnance, budou tyto informace v praxi ovlivněny omezením. Zpracování zvláštních kategorií osobních údajů je zakázáno, pokud se na ně nevztahuje mimo jiné souhlas dotčeného nebo jeho nezbytnost v kontextu zaměstnání nebo sociálního zabezpečení.
Zapojení zpracovatele
V rámci GDPR se zpracovatel nepovažuje za třetí stranu. Jeho zapojení tedy závisí pouze na uvážení správce a nevyžaduje právní důvod. Je třeba poznamenat, že totéž platí pro zpracovatele umístěné ve třetích zemích. Ovšem správce si musí vybrat vhodného zpracovatele, který může zaručit odpovídající úroveň ochrany dat. V tomto ohledu zpracovatel čelí vlastním vynutitelným organizačním povinnostem vyplývajícím z GDPR.
Obecné požadavky na přenosy údajů do zemí mimo EU
Pokud se osobní údaje předávají příjemcům, kteří se nacházejí mimo EU, musí takový převod podléhat zvláštním zárukám, aby byla zaručena odpovídající úroveň ochrany údajů.
Subjekty musí v dvoustupňovém přístupu ověřit, že na tuto činnost zpracování se vztahuje právní odůvodnění a že budou uplatňována vhodná ochranná opatření.
5. Případová studie registračního a akreditačního systému z pohledu bezpečnosti
Registrační a akreditační systém je webová aplikace, používající pro zobrazení HTML, a slouží k zajištění průběhu sportovní akce a všech jejích aspektů. Jinak řečeno, je to velká databáze všech souvisejících a potenciálně užitečných dat nějaké sportovní akce nebo série sportovních akcí. Každý uživatel má předdefinovaný přístup a systémová práva pro spravování konkrétní části systému s ohledem na jeho roli během dané sportovní akce.
S ohledem na registraci pro takovou akci, systém řídí celý registrační proces výpravy (atleti, oficiálové) a další aspekty jako editaci dat a podobně. Ale i registraci všech dalších účastníků akce, jako jsou novináři, televizní štáb, VIP hosté, organizační výbor, pracovní síla a tak dále.
Všechny moduly jsou do jisté míry flexibilní a můžou být přizpůsobeny podle specifických požadavků konkrétního organizačního výboru. Ale je nepravděpodobné, že všechna přání budou realizována. Specifické požadavky organizačního výboru musí být nejdřív vyhodnoceny s ohledem na konstrukci systému a na časové možnosti.