Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení 164/2013 účinný od 01.05.2014 do 24.05.2018

Platnosť od: 26.06.2013
Účinnosť od: 01.05.2014
Účinnosť do: 24.05.2018
Autor: Úrad na ochranu osobných údajov Slovenskej republiky
Oblasť: Ochrana osobných údajov

Informácie ku všetkým historickým zneniam predpisu
HIST2JUDDSEUPP1ČL0

Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení 164/2013 účinný od 01.05.2014 do 24.05.2018
Prejsť na §    
Informácie ku konkrétnemu zneniu predpisu
Vyhláška 164/2013 s účinnosťou od 01.05.2014 na základe 117/2014
Zobraziť iba vybrané paragrafy:
Zobraziť

UPOZORNENIE: Znenia §-ov sú skrátené. Na zobrazenie celého znenia musíte byť zaregistrovaní. ZAREGISTRUJTE SA NA 14 DNÍ BEZPLATNE! 

Úradu na ochranu osobných údajov Slovenskej republiky

o rozsahu a dokumentácii bezpečnostných opatrení

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 20 ods. 3 zákona č. ...

§ 1
(1)

Rozsah primeraných technických, organizačných a personálnych opatrení (ďalej len „bezpečnostné opatrenia“) ...

(2)

Pri prijímaní bezpečnostných opatrení prevádzkovateľ rozlišuje medzi použitím automatizovaných a iných ...

(3)

Prijatím bezpečnostných opatrení prevádzkovateľ neoprávneným osobám znemožní akýkoľvek nedovolený prístup ...

§ 2
(1)

Dokumentácia prijatých bezpečnostných opatrení (ďalej len „dokumentácia“) popisuje celý proces spracúvania ...

(2)

Bezpečnostné opatrenia musia byť zdokumentované prehľadne a jednoznačne. Dokumentácia podľa § 3, 4 a ...

§ 3

Pri prijímaní a dokumentovaní bezpečnostných opatrení sa primerane použijú najmä bezpečnostné opatrenia ...

§ 4

Obsah bezpečnostných opatrení podľa § 19 ods. 1 zákona, ak prevádzkovateľ nepostupuje podľa § 19 ods. ...

§ 5
(1)

Bezpečnostný projekt informačného systému (ďalej len „bezpečnostný projekt“) podľa § 19 ods. 2 zákona ...

a)
názov informačného systému, na ktorý sa vzťahuje,
b)
bezpečnostný zámer,
c)
analýzu bezpečnosti informačného systému,
d)
závery vyplývajúce z písmen b) a c).
(2)

Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu osobných ...

a)
formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b)
špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ochrany ...
c)
vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti informačného systému, ...
d)
vymedzenie hraníc určujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpečnostné ...
(3)

Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s ...

a)
identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto ...
b)
analýzou a ohodnotením rizík založených na určení dopadov, ktoré môžu vyplynúť zo zlyhania bezpečnosti, ...
c)
určením reálnej pravdepodobnosti výskytu zlyhania bezpečnosti a odhadom úrovne rizík vymedzujúcim, či ...
d)
identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpečnostných ...
e)
výberom cieľov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických ...
(4)

Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému na konkrétne podmienky ...

a)
popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
b)
rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených ...
c)
spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení, ...
d)
postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení na ...
(5)

Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje ...

§ 6

Táto vyhláška nadobúda účinnosť 1. júla 2013.

Eleonóra Kročianová v. r.

Prílohy

    Príloha k vyhláške č. 164/2013 Z. z.

    BEZPEČNOSTNÉ OPATRENIA

    1.

    Technické opatrenia

    1.1

    Technické opatrenia realizované prostriedkami fyzickej povahy

    1.1.1

    Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) ...

    1.1.2

    Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, zábrany v ...

    1.1.3

    Umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom ...

    1.1.4

    Bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných ...

    1.1.5

    Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. ...

    1.1.6

    Zariadenie na ničenie fyzických nosičov osobných údajov (napr. zariadenie na skartovanie listín) ...

    1.2

    Ochrana pred neoprávneným prístupom

    1.2.1

    Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových ...

    1.2.2

    Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza

    1.3

    Riadenie prístupu oprávnených osôb

    1.3.1

    Identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme

    1.3.2

    Zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému

    1.4

    Ochrana proti škodlivému kódu

    1.4.1

    Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných ...

    1.4.2

    Ochrana pred nevyžiadanou elektronickou poštou

    1.4.3

    Používanie legálneho a prevádzkovateľom schváleného softvéru

    1.4.4

    Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete

    1.5

    Sieťová bezpečnosť

    1.5.1

    Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné ...

    1.5.2

    Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej počítačovej siete

    1.5.3

    Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (napr. firewall) ...

    1.5.4

    Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým ...

    1.5.5

    Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok) ...

    1.6

    Zálohovanie

    1.6.1

    Test funkcionality dátového nosiča zálohy

    1.6.2

    Vytváranie záloh s vopred zvolenou periodicitou

    1.6.3

    Test obnovy informačného systému zo zálohy

    1.6.4

    Bezpečné ukladanie záloh

    1.7

    Likvidácia osobných údajov a dátových nosičov

    1.7.1

    Bezpečné vymazanie osobných údajov z dátových nosičov

    1.7.2

    Zariadenie na likvidáciu dátových nosičov osobných údajov

    1.8

    Aktualizácia operačného systému a programového aplikačného vybavenia

    2.

    Organizačné opatrenia

    2.1

    Personálne opatrenia

    2.1.1

    Poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi

    2.1.1.1

    Poučenie o právach a povinnostiach vyplývajúcich zo zákona a zodpovednosti za ich porušenie

    2.1.1.2

    Vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností ...

    2.1.1.3

    Určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov

    2.1.1.4

    Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi

    2.1.1.5

    Vymedzenie zodpovednosti za porušenie zákona

    2.1.2

    Poučenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich ...

    2.1.3

    Písomné poverenie zodpovednej osoby podľa § 23 zákona

    2.1.4

    Vzdelávanie oprávnených osôb (napr. právna oblasť, oblasť informačných technológií)

    2.1.5

    Postup pri ukončení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených ...

    2.2

    Vedenie zoznamu aktív a jeho aktualizácia

    2.3

    Riadenie prístupu oprávnených osôb k osobným údajom

    2.3.1

    Kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických ...

    2.3.2

    Správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)

    2.3.3

    Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb

    2.3.4

    Správa hesiel

    2.3.5

    Vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia ...

    2.4

    Organizácia spracúvania osobných údajov

    2.4.1

    Pravidlá spracúvania osobných údajov v chránenom priestore

    2.4.2

    Nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené ...

    2.4.3

    Režim údržby a upratovania chránených priestorov

    2.4.4

    Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá ...

    2.4.4.1

    Pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených ...

    2.4.4.2

    Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov ...

    2.4.4.3

    Pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovednosti ...

    2.5

    Likvidácia osobných údajov

    2.5.1

    Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených ...

    2.6

    Bezpečnostné incidenty

    2.6.1

    Postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému ...

    2.6.2

    Evidencia bezpečnostných incidentov a použitých riešení

    2.6.3

    Postup pri riešení jednotlivých typov bezpečnostných incidentov

    2.6.4

    Identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov

    2.6.5

    Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov) ...

    2.6.6

    Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných ...

    2.7

    Kontrolná činnosť

    2.7.1

    Kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením ...

    2.7.2

    Informovanie oprávnených osôb o kontrolnom mechanizme,3) ak je u prevádzkovateľa zavedený (rozsah kontroly ...

Poznámky

  • 1)  Napríklad § 29 výnosu Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre ...
  • 2)  Napríklad STN ISO/IEC 27001, STN ISO/IEC 27002, výnos Ministerstva financií Slovenskej republiky č. ...
  • 3)  Čl. 11 a § 13 zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov.
Načítavam znenie...
MENU
Videonávod k používaniu systému
Hore