Přístup ke zdrojovému kódu programu by měl být velmi omezený a jen pouze pro zaměstnance dané firmy. Manipulace se zdrojovým kódem, jeho stahování na lokální úložiště počítačů zaměstnanců je možné pouze z místní sítě nebo přes VPN. K tomu veškeré počítače zaměstnanců musejí mít šifrované harddisky a silná hesla pro Windows autentizaci. Ve výjimečných případech jsou počítače chráněny hardwarovými klíči, které jsou v podobě USB flash disků bez jejichž zapojení není možné daný počítač spustit.
5.4 Přihlašování do systému
Dříve se hesla posílala přes email, ale dnes se již nic takového neděje. Každému uživateli se do jeho emailové schránky odešle notifikace obsahující link na aktivaci účtu a nastavení si vlastního hesla. Dále dodatečná změna hesla je uživatelům sice umožněna, ale není nijak
Dále při řešení přihlašování do systému existuje několik zásad, které je vhodné dodržet:
Nezobrazovat vkládané heslo.
Neposílat heslo po síti stringově.
Zavírat session po určitém čase neaktivity.
Validovat login input informace pouze jako celek.
Pokud nastane nějaká chyba, tak systém by neměl dát najevo, která část informace je špatně nebo správně (například že uživatelské jméno je správně, ale heslo nikoli).
Logovat úspěšné i neúspěšné pokusy o přihlášení do systému.
Ochrana proti útokům hrubou silou (Brute force).
Zajistit silná hesla.
Zajistit změnu hesla při prvním přihlášení.
Uchovávat hesla v databázi zabezpečeně a šifrovaně.
Zkoumaný Registrační a akreditační systém všechny tyto zásady splňuje.
5.5 Případová studie nakládání s citlivými daty
I zkoumaná organizace podléhá novému nařízení od Evropské unie známého jako GDPR.
Nařízení GDPR ve své podstatě vychází z již dříve existujících metodik a zákonů a nepřináší mnoho nového. Ochrana osobních údajů je pro organizaci nesmírně důležitá.
Proto zpracovávají osobní údaje svých zaměstnanců, zákazníků a obchodních partnerů v souladu s platnými právními předpisy o ochraně osobních údajů a bezpečnosti dat.
Současná politika ochrany osobních údajů jasně popisuje typy osobních údajů, které shromažďují, jak tyto údaje používají, komu jsou předávány a jaké volby mají subjekty, kterých se týkají práva na ochranu dat. Dále popisují opatření, která provádí, aby zajistily
bezpečnost dat a jak organizace mohou jednotlivci kontaktovat, pokud mají otázky týkající se jejich postupů v oblasti ochrany údajů. Tato politika řídí zpracování dat v souladu s ochranou údajů a stávající povinnosti v oblasti ochrany údajů a bezpečnosti dat. Všichni zaměstnanci jsou povinni dodržovat tyto zásady.
Je nutné poukázat na to, že firma jako poskytovatel licence na software je pouze zpracovatelem dat. Zatímco majitelem a správcem dat uložených v databázi je vždy konkrétní zákazník neboli zadavatel projektu. Firma správce dat předem informuje, jak bude s daty nakládáno a jak budou ukládána.
V sesterské německé firmě je již od zavedení nařízení GDPR ustanoven inspektor ochrany osobních údajů a jeho zástupce, kteří mají na starosti seznámení se s danou problematikou, pomoc s implementací opatření pro splnění řádných právních úkonů a dohled nad plněním požadavků, a to samostatným uplatňováním svých odborných znalostí a odborných kvalifikací. Toto oddělení mělo na starosti i přípravu na nové nařízení v české části firmy.
Teprve na začátku letošního roku byla jmenována příslušná komunikační osoba v české části firmy, která by nespadala pod německé oddělení.
Inspektor pro ochranu údajů informuje vedení společnosti a zaměstnance o jejich povinnostech v oblasti ochrany údajů a poskytuje jim poradenství. Je odpovědný za sledování dodržování ustanovení o ochraně údajů a za politiku vedení společnosti v souvislosti s ochranou osobních údajů, včetně přidělení odpovědnosti, zvyšování povědomí a školení zaměstnanců. Inspektor ochrany údajů se přímo zodpovídá vedení společnosti. V případě zpracování vysoce rizikových dat napomáhá inspektor ochrany údajů vedení společnosti při posuzování rizika. Každý zaměstnanec má možnost přímo kontaktovat inspektora ochrany údajů s informacemi, návrhy nebo stížnostmi, přičemž na požádání je zachována přísná důvěrnost.
5.5.1 Hardware a Software
Použití moderních komunikačních technologií zrychluje a zjednodušuje výměnu informací, ale také obsahuje riziko a problémy. Společnost vlastní jak hardware a software, tak i přístupová práva k elektronickým komunikačním technologiím skrz licence. Osobní
účelům. Jejich použití k soukromým účelům je povolen pouze v omezené míře a je předmětem zákonných a etických standardů.
Při výběru hardwaru a software se zohledňuje jako klíčové kritérium zásada zajištění ochrany údajů. Pokud si zaměstnanec přeje uplatnit svá práva v souladu s nařízením GDPR (právo omezit, upravit nebo smazat osobní údaje nebo odvolat souhlas), kontaktuje úředníka pro ochranu údajů společnosti.
Oddělení IT vede seznam použitého hardwaru a použitých programů. Inspektor ochrany údajů má kdykoli přístup k tomuto seznamu. V případě porušení ochrany osobních údajů, sabotáže nebo krádeže hardwaru a softwaru je oddělení IT neprodleně informováno. Dále je zakázáno na firemní počítače a další elektronická komunikační zařízení instalovat neautorizovaný software, z důvodu možnosti narušení bezpečnosti, jako jsou viry, červi, Trojské koně nebo spyware.
Společnost vybavuje své zaměstnance laptopy a další elektronikou s výhradně předinstalovanými softwary pro ochranu, jako například antivirem, firewallem atd.
Všechny laptopy a podobná zařízení musejí být chráněna bootovacím heslem a zašifrovaným harddiskem. Může dále obsahovat další přístupové možnosti, jako například otisk prstu.
Použití soukromých zařízení k výkonu pracovních povinností je striktně zakázáno. Jako důsledek aktivit, jako je připojování se domácím počítačem do firemní sítě, ukládat firemní data na soukromý USB flash disk nebo čtení pracovních e-mailů na firmou nevlastněných zařízeních je zakázáno. Výjimky musejí být schváleny centrálou společnosti. Seznam takových zařízení mimo jiné obsahuje mobilní telefony, smartphony, laptopy, tablety, kamery, CD a DVD, USB paměťové disky, paměťové karty, přenosné harddisky atd.
5.5.2 Povinnosti a školení zaměstnanců
Každý zaměstnanec, který nakládá s osobními údaji, je povinen s osobními údaji zacházet jako s důvěrnými a dodržovat tyto zásady. Dále platí následující ustanovení, že noví zaměstnanci, dočasní zaměstnanci, stážisté, studenti a nezávislí pracovníci jsou povinni udržovat důvěrnost.
Všichni zaměstnanci musejí podepsat dokument „Povinnost mlčenlivosti o osobních údajích“. Digitální kopie tohoto dokumentu je uložena v systému pro správu údajů jako důkaz pro orgán dohledu. Personální oddělení uchovává původní dokument ve složce zaměstnance. Zaměstnanec, který je vázán zvláštními povinnostmi mlčenlivosti (např.
Telekomunikační tajemství podle § 88 TKG (německý telekomunikační zákon)), je dále povinen personálním oddělením písemně dodržovat mlčenlivost o příslušném pracovním výkazu zaměstnance.
Odborná příprava a informování zaměstnanců o pravidlech a postupech pro ochranu údajů se poskytuje, pokud je to možné, prostřednictvím intranetu a seminářů.
5.5.3 Transparentnost zpracování dat
Inspektor ochrany údajů vede záznamy o činnostech zpracování dat podle článku 30 nařízení GDPR, pokud se jedná o postupy týkající se nakládání s osobními údaji. Osoba odpovědná za postup musí neprodleně a v souladu se specifikacemi stanovenými inspektorem ochrany údajů oznámit procesní změny (např. účel a obsah). Bez ohledu na tuto zprávu je inspektor ochrany údajů informován při plánování zavádění nových postupů.
Pokud inspektor ochrany údajů rozhodne, že zamýšlený postup podléhá posouzení dopadu na ochranu údajů, neprodleně o tom uvědomí vedení firmy. Postup se provede pouze se souhlasem inspektora ochrany údajů. V případě pochybností rozhoduje vedení společnosti.
Pokud subjekt uplatní své právo na přístup podle článku 15 nařízení GDPR, jeho právo na opravu podle článku 16 nařízení GDPR, nebo jeho právo vznést námitky podle článku 21 nařízení GDPR, provede nutné úkony a opatření inspektor ochrany údajů. Práva zaměstnanců na přístup a přezkoumání musí plnit personální management. V souladu s nařízením GDPR je zajištěno, aby subjekt obdržel své osobní údaje ve strukturovaném, jednotném a strojově zpracovatelném formátu. Standard, který splňuje tyto požadavky, musí být stanoven předem na základě vzájemné dohody mezi inspektorem ochrany údajů a oddělením IT.
5.5.4 Sběr a zpracování osobních údajů
Sběr a zpracování osobních údajů se provádí pouze v rozsahu povoleném zákonem.
Rovněž musí být dodrženy zvláštní požadavky na shromažďování a zpracování citlivých údajů podle článku 9 nařízení GDPR. V zásadě mohou být zpracovávány a používány pouze takové informace, které jsou nezbytné pro plnění provozních úkolů a které přímo souvisejí s účelem zpracování.
Před zavedením nových typů sběru informací musí osoba odpovědná za jeho použití písemně dokumentovat zamýšlené použití údajů, které určují jeho přípustnost. V zásadě je změna účelu povolena pouze tehdy, je-li postup slučitelný s účely, pro které byly údaje původně shromážděny. Posuzovací kritéria použitá v souvislosti se změnou účelu se posuzují individuálně. Takové přezkoumání musí být také zdokumentováno pro účely řádného ověření. Změna účelu je také přípustná, pokud odpovědná osoba získá souhlas subjektu, jehož data se sbírají. Osoba odpovědná za zpracování zároveň písemně určí před shromažďováním nebo uchováváním údajů, zda a jakým způsobem bude splněna oznamovací povinnost všem subjektům, jejichž data shromažďuje.
5.5.5 Ochrana údajů, přenos a smazání
V zásadě jsou data uložena na interních síťových discích a úložných službách poskytovaných společností za tímto účelem. Za zálohování dat na tomto médiu odpovídá IT oddělení. Pokud je z technických nebo organizačních důvodů vyžadováno jiné úložiště, odpovídá za provedení technických opatření pro zálohování dat, ochranu dat a zabezpečení dat příslušný uživatel. médium šifrované. V tomto případě musí být mobilní zařízení pro ukládání dat (notebook s
pevným diskem, SSD, paměť USB flash) registrováno oddělením IT a jednoznačně přiřazeno jednomu uživateli.
Osoba rozhodující o zpracování údajů musí dodržovat lhůty pro uchovávání údajů a datum pro smazání. O dodržování termínů je informováno IT oddělení, zejména s ohledem na smazání osobních údajů v záložních kopiích. Při předávání nebo vracení již nepotřebných IT komponent je zaměstnanec povinen zajistit, aby všechny údaje byly předtím nenávratně vymazány.
5.5.6 Poskytovatelé externích služeb
Pokud jsou zpracováním osobních údajů nebo prováděním jednotlivých kroků zpracování (např. shromažďováním, analýzou, zpracováním) nebo činností (např. hostováním, údržbou, opravou), které jim dávají možnost přístupu k osobním údajům, pověřeni externí zpracovatelé, pak podle článku 28 nařízení GDPR se společnost stává kontrolorem dat a externí zpracovatelé se stávají zpracovatelem. Oproti výchozí situaci kdy je společnost zpracovatelem a kontrolorem je firemní zákazník.
Zpracování proto bude probíhat na základě dohody. Tato dohoda (dohoda o zpracování údajů na zakázku) upravuje mimo jiné následující ustanovení: předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů, povinnosti a práva správce a technické a organizační opatření. Orgán v rámci společnosti, který zadává externího poskytovatele služeb, zajišťuje uzavření odpovídající dohody a zapojení inspektora ochrany údajů.
Dohlíží, podporuje a řídí proces v rámci příslušné oblasti odpovědnosti.
Totéž platí, pokud společnost chce vykonávat odpovídající činnosti jménem třetích stran.
V takovém případě musí obě společnosti zajistit příslušná technická a organizační opatření.
5.5.7 Bezpečnost zpracování
Pro každý postup je připraveno zdokumentované posouzení bezpečnostních požadavků a analýza možných rizik pro subjekty. Požadavek na bezpečnost závisí na povaze údajů, rozsahu, okolnostech a účelech zpracování a na pravděpodobnosti výskytu těchto rizik.
Koncepce bezpečnosti IT s příslušnými technickými a organizačními opatřeními zajišťuje dostupnost, důvěrnost a integritu údajů a odolnost systémů zpracování dat.
Implementovaný koncept je založen na dříve stanoveném bezpečnostním posouzení a analyzovaném riziku.
Kromě této politiky existují doplňující předpisy, které se týkají zejména opatření, která jsou přijata k provedení požadavků na ochranu údajů podle článku 32 nařízení GDPR. Patří mezi ně mimo jiné:
Praktická příručka pro zaměstnance (směrnice pro interní a externí zaměstnance v oblasti ochrany údajů)
Praktická příručka - Povinnosti a úkoly (kompetence a odpovědnosti v rámci společnosti)
Pokyny týkající se obecných zásad ochrany dat (v současné době se připravuje)
Pokyny týkající se používání PC a hardwaru, stejně jako internetu, e-mailu a podobné komunikační prostředky
Pokyny týkající se mobilních zařízení
5.5.8 Narušení bezpečnosti dat
Zásada ochrany osobních údajů určují povinnosti co dělat v případě narušení bezpečnosti osobních údajů a způsobů, jak o nich informovat. Tyto zásady se týkají všech zaměstnanců. Narušení bezpečnosti osobních údajů znamená narušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému vyzrazení nebo přístupu k osobním údajům přenášeným, uchovávaným nebo jinak zpracovávaným společností.
Všeobecné povinnosti hlášení
Lokální vedení každého pobočky společnosti, které utrpí porušení bezpečnosti osobních údajů, má povinnost posoudit a oznámit porušení ochrany osobních údajů orgánům pro
ochranu údajů, ledaže by takové porušení osobních údajů mohlo mít za následek ohrožení práv a svobod dotčeného subjektu. Pokud by navíc porušení osobních údajů mohlo mít za následek vysoké riziko pro práva a svobody dotčeného subjektu, je společnost povinna sdělit porušení ochrany osobních údajů subjektu nebo subjektům. Oznámení o porušení bezpečnosti osobních údajů příslušnému orgánu dozoru se uskuteční bez zbytečného odkladu, a pokud je to možné, nejpozději do 72 hodin po zjištění porušení osobních údajů.
Postup při zjištění narušení bezpečnosti
Pokud se zaměstnanec společnosti dozví nebo má podezření na porušení bezpečnosti osobních údajů, musí tuto skutečnost neprodleně oznámit inspektorovi ochrany údajů anebo kontaktní osobě a vedení místní pobočky společnosti a musí jim poskytnout co nejvíce informací o jejich zjištění.
Inspektor ochrany údajů anebo kontaktní osoba musejí být informováni o:
skutečnosti, že existuje podezření na porušení osobních údajů;
že byly ovlivněny systémy, webové stránky, databáze atd.;
povaze porušení bezpečnosti osobních údajů, např. ztracený USB flash disk, notebook nebo mobilní telefon, neautorizovaný přístup na server, hack, atd.;
kategorii a počtu dotčených subjektů nebo záznamů údajů (je-li to možné);
době, kdy bylo zjištěno porušení osobních údajů;
Pokud inspektor ochrany údajů anebo kontaktní osoba obdrží zprávu o výskytu nebo podezření na porušení bezpečnosti osobních údajů, musejí vyplnit formulář hlášení o porušení bezpečnosti osobních údajů.
Po vyplnění a koordinaci s místním vedením společnosti zašle inspektor ochrany údajů zprávu o porušení dat následujícím příjemcům:
Centrále společnosti, která je právním zástupcem jednotlivých poboček společnosti
Kontaktní osobě na ochranu dat
Kontaktní osobě zákazníka zabývající se ochranou dat (pokud jde o osobní údaje zákazníka).
Dále musejí navázat kontakt s právním oddělením v ústředí společnosti a poskytnout všechny požadované informace, včetně vyplněného formuláře pro hlášení narušení bezpečnosti osobních údajů.
Pokud inspektor ochrany údajů anebo kontaktní osoba nebude kontaktována žádným z příjemců do dvanácti hodin po dokončení zprávy o porušení údajů, je povinností inspektora ochrany údajů anebo kontaktní osoby společnosti úspěšně navázat kontakt s jedním z následujících subjektů:
Vedoucím právního oddělení společnosti;
Hlavním ředitelem pro bezpečnost informací centrální společnosti.
Servisní stůl centrální společnosti je možné kontaktovat 24 hodin denně 7 dní v týdnu.
Centrála společnosti
Po oznámení porušení bezpečnosti osobních údajů zahájí právní zástupce společnosti kontakt s:
Vedoucím právního oddělení společnosti
Centrálou ředitelství společnosti pro informační bezpečnost
Důstojníkem komunikace společnosti
Nebo jakékoli jiné příslušné osoby,
v následujících situacích:
sjednotit a vyhodnotit poskytnuté informace;
získat nebo požadovat více informací (pokud je to nutné);
posoudit, zda ve skutečnosti došlo k porušení bezpečnosti osobních údajů;
posoudit, zda by takové porušení osobních údajů mohlo mít za následek vysoké riziko pro práva a svobody jednotlivců;
posoudit opatření, která mají být přijata nebo již byla přijata k řešení porušení osobních údajů.
Na základě těchto zjištění připraví právní zástupce společnosti, který je odpovědný za společnost, aktualizovanou Zprávu o porušení bezpečnosti údajů, která bude obsahovat hodnocení rizika pro místní vedení Společnosti („Závěrečná zpráva“) s uvedením:
zda ve skutečnosti došlo k porušení bezpečnosti osobních údajů;
zda by takové porušení bezpečnosti osobních údajů mohlo mít za následek riziko pro práva a svobody jednotlivců a následně by mělo být oznámeno orgánu dohledu a dotčenému subjektu (subjektům) s uvedením, který orgán dohledu a na který subjekt údajů se vztahuje;
zda by takové porušení osobních údajů mohlo mít za následek vysoké riziko pro práva a svobody jednotlivců a následně by mělo být oznámeno subjektům údajů (s uvedením toho, jak a jak);
povahu porušení bezpečnosti osobních údajů; kategorie a přibližný počet dotčených subjektů a záznamů;
důsledky plynoucí z porušení bezpečnosti osobních údajů a opatření přijatá nebo přijatá k řešení porušení osobních údajů.
posoudit, zda by takové porušení osobních údajů mohlo vést k ohrožení práv a svobod jednotlivců;
Na základě aktualizované Závěrečné zprávy musí vedení pobočky společnosti:
pověřit inspektora ochrany údajů a kontaktní osobu, aby oznámil porušení bezpečnosti osobních údajů uvedenému orgánu dozoru a dotčenému subjektu (subjektům), pokud to bude podle závěrečné zprávy považovat za nezbytné;
přijmout vhodná opatření, aby se zabránilo budoucím případům porušení bezpečnosti osobních údajů nebo jiných incidentů souvisejících s bezpečností;
Závěr
Cílem této diplomové práce bylo na základě případové studie zjistit, zdali zkoumaný projekt informačního systému splňuje vybrané bezpečnostní a kvalitativní normy, které by mu v případě získání mohli zajistit, kromě spokojenosti stávajících zákazníků i výhody nad konkurencí a možný přísun nových zákazníků. Dle zjištění v této práci lze prohlásit, že daná firma a projekt splňují zkoumané ISO normy řady 9000 o kvalitě dodávaného produktu, v tomto případě softwaru a ISO normy řady 27000 o fyzickém i technologickém zabezpečení dat uživatelů. Dále splňují i požadavky stanovené v novém mezinárodním nařízení GDPR od Evropské unie, bez nichž není možné provozovat žádný informační systém na území Evropské unie nebo nakládat s daty jejich obyvatel.
Na základě výsledků této analýzy mohu jednoznačně firmě doporučit, aby si zažádala o oficiální certifikaci u certifikačního orgánu.
Kromě zabývání se bezpečností softwaru, byla v této diplomové práci zkoumána i kvalita projektu na základě stávající situace projektového řízení, kde bylo ukázáno, že firma dodržuje základní pravidla a postupy projektového řízení, včetně agilního přístupu k vývoji softwaru se zaměřením se více na potřeby zákazníka. Díky projektovému řízení je možné dodávat software se stálou kvalitou a to za kratší dobu.
Kromě zabývání se bezpečností softwaru, byla v této diplomové práci zkoumána i kvalita projektu na základě stávající situace projektového řízení, kde bylo ukázáno, že firma dodržuje základní pravidla a postupy projektového řízení, včetně agilního přístupu k vývoji softwaru se zaměřením se více na potřeby zákazníka. Díky projektovému řízení je možné dodávat software se stálou kvalitou a to za kratší dobu.