Zakonski uvijeti RH iz područja sigurnosti i privatnosti za razne kategorije poduzeća

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Sadržaj

Uvod

Republika Hrvatska spada u skupinu zemalja koje su relativno kasno započele sa tehnološkim razvojem što je posljedica ratnih zbivanja i loše gospodarske situacije koja je trajala duži period vremena nakon ratnih zbivanja. Veliki broj stanovnika još uvijek je informatički nepismen, no bez obzira na tu činjenicu u Republici Hrvatskoj postoji potreba za informacijskom sigurnošću i zaštitom podataka. Informacijska sigurnost i zaštita podataka predstavljaju vrlo važnu komponentu u zakonodavstvu Republike Hrvatske te se pomoću zakona vezanih za informacijsku sigurnost i zaštitu podataka građanstvo nastoji osigurati od mogućih krađa podataka, povrede informacijske sigurnosti i raznih malverzacija koje nisu strane kako u svijetu tako i u Republici Hrvatskoj. Sve većim i bržim tehnološkim razvojem Republike Hrvatske javlja se veća potreba za sigurnošću društva u sektoru informacijskih tehnologija. Poslovanje velikog broja organizacija u Hrvatskoj, kao i fizičkih i pravnih osoba ovisi o ispravnom funkcioniranju informacijske i komunikacijske tehnologije te nije prihvatljivo da poslovanje organizacija pati zbog povrede informacijske sigurnosti ili eventualne krađe podataka koji su vrlo bitni za poslovanje.

Ključni čimbenici za razvoj informacijski sigurnog društva su državna uprava, gospodarstvo te građanstvo. Državna uprava ima vrlo veliku ulogu u izgradnji i upravljanju sustavom informacijske sigurnosti i ona postavlja temelje za stvaranje i organizaciju informacijskog društva. Razvitkom informacijske sigurnosti državna uprava uspostavlja preventivne mjere te stvara organizacijsko-tehničke pretpostavke za sustavni razvoj zaštitnih i represivnih postupaka u okviru informacijskog društva. Državna uprava također stvara i temelje za formalni razvoj istraživačkih metoda i postupaka temeljenih na metodama računalne forenzike ali i za prijelaz kaznenog zakonodavstva iz tradicionalnih okvira u informacijsko društvo. Kako bi izvođenje postupaka kao što su identifikacija resursa, klasifikacija podataka, upravljanje rizikom, planiranje i implementacija mjera bilo moguće, informacijska sigurnost mora biti dobro razvijena i organizirana na nacionalnoj razini, a u tom kontekstu vrlo je bitna uloga državne vlasti koja se mora potruditi zakonski zaštititi sve aspekte suvremenog društva. Nacionalni program informacijske sigurnosti u Republici Hrvatskoj bavi se prvenstveno organizacijskim i upravljačkim aspektima uvođenja sustava informacijske sigurnosti, polazeći od preduvjeta koji su potrebni za sustavni razvoj zakona, propisa, metoda, postupaka i tehničkih sustava u području informacijske sigurnosti te je njegova primarna zadaća započeti sustavni proces uvođenja informacijske sigurnosti u Republici Hrvatskoj, šireći pritom proces informacijske sigurnosti na državu u cjelini uvođenjem minimalnih sigurnosnih kriterija u državni i javni sektor te razvojem sigurnosne svijesti i kulture u najširim slojevima stanovništva.

Informacijska sigurnost i zaštita podataka predstavljaju također vrlo bitnu komponentu i u gospodarskoj konkurentnosti i privlačnosti same zemlje za inozemne investitore, jer kada se informacijska sigurnost Republike Hrvatske usporedi sa informacijskom sigurnošću drugih razvijenih zemalja Europske unije, Hrvatska još uvijek nema dovoljno razvijen sustav informacijske sigurnosti koji bi strane investitore privukao na ulaganje i razvoj poslovanja u Republici Hrvatskoj.

--Jkolaric 22:28, 19. siječnja 2015. (CET)

Osnovni pojmovi vezani uz informacijsku sigurnost

Kako bi razumijevanje ove tematike bilo što lakše potrebno je definirati osnovne pojmove koji su vezani za informacijsku sigurnost i privatnost, to jest zaštitu podataka. Neki od ključnih pojmova koji će se spominjati u daljnjoj razradi teme kroz objašnjenje različitih zakona vezanih uz informacijsku sigurnost i zaštitu podataka su:

  • Registraturno gradivo – cjelina zapisa nastalih djelovanjem fizičke ili pravne osobe
  • Arhivsko gradivo – gradivo koje nastaje odabirom iz registraturog gradiva i od trajnog je značaja za kulturu, povijest i druge znanosti
  • Arhivi – ustanove za čuvanje, zaštitu, obradu i korištenje arhivskog gradiva
  • Pismohrana – ustrojstvena jedinica u kojoj se čuva arhivsko gradivo sve do predaje nadležnom arhivu
  • Elektronički potpis – skup podataka u elektroničkom obliku koji su pridruženi ili logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanog elektroničkog dokumenta
  • Napredan elektronički potpis – pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4. zakona o elektroničkom potpisu. On ima istu pravnu snagu i zamjenjuje vlastoručni potpis, to jest vlastoručni potpis i otisak pečata
  • Certifikat – elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima razmjene elektroničkih zapisa
  • Kvalificirani certifikat – elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis
  • Elektronička isprava – cjelovit skup podataka koji su elektronički oblikovani, to jest izrađeni pomoću računala ili nekih drugih elektroničkih uređaja
  • Podatak – dokument, to jest svaki umnoženi, napisani, nacrtani, slikovni, tiskani, snimljeni, fotografirani, magnetni, optički, elektronički ili bilo koji drugi zapis podataka, saznanje, mjera, postupak, predmet, usmeno priopćenje ili informacija koja s obzirom na svoj sadržaj ima važnost povjerljivosti i cjelovitosti za svoga vlasnika
  • Klasificirani podatak – podatak koji je nadležno tijelo, u propisanom postupku, takvim označilo i za koji je utvrđen stupanj tajnosti. To također može biti i nekakav podatak kojeg je Hrvatskoj predala druga država ili međunarodna organizacija pod oznakom klasificiranog podatka
  • Neklasificirani podatak – podatak bez utvrđenog stupnja tajnosti, koji se koristi u službene svrhe. Također može biti i podatak kojeg je Hrvatskoj predala druga država ili međunarodna organizacija pod oznakom neklasificiranog podatka
  • Klasifikacija podataka – postupak utvrđivanja jednog od stupnjeva tajnosti podataka s obzirom na stupanj ugroze
  • Deklasifikacija podataka – prestanak postojanja razloga zbog kojih je podatak klasificiran, on postaje neklasificirani s ograničenom uporabom samo u službene svrhe
  • Vlasnik podataka – nadležno tijelo u okviru čijeg djelovanja je klasificiran ili neklasificiran podatak nastao
  • Informacijska sigurnost – stanje povjerljivosti, cjelovitosti i raspoloživosti podataka koje se postiže primjenom propisa i standarda informacijske sigurnosti
  • Akreditacija – postupak utvrđivanja osposobljenosti tijela i pravnih osoba za upravljanje sigurnošću informacijskih sustava
  • Klasificirani ugovor – ugovor kojim se razmjenjuju klasificirani podaci
  • Kriptomaterijali – kriptografski proizvodi i podaci, programska rješenja ili uređaji za zaštitu podataka, tehnička dokumentacija, ključevi
  • Opća razina zaštite – skup mjera i standarda propisan za stupnjeve tajnosti
  • Ugroza (prijetnja) – potencijalni uzrok koji može nanijeti štetu klasificiranom podatku ili informacijskom sustavu
  • Upravljanje rizikom – sustavan pristup koji uključuje planiranje, organiziranje i usmjeravanje aktivnosti, da bi rizici za klasificirane podatke ostali u utvrđenim i prihvatljivim okvirima
  • Osobni podatak – svaki podatak koji se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati

[26]

--Jkolaric 22:28, 19. siječnja 2015. (CET)

Institucije informacijske sigurnosti u Republici Hrvatskoj

Kako bi upravljanje i razvoj sustava informacijske sigurnosti bio što lakši, u Republici Hrvatskoj postoje različite institucije informacijske sigurnosti čije je djelovanje podijeljeno. Sve institucije informacijske sigurnosti djeluju sa zajedničkim ciljem, a taj cilj je osiguravanje informacijske sigurnosti i zaštite podataka u Republici Hrvatskoj. Neke od tih institucija su Nacionalni CERT, CarNET CERT, Ured vijeća za nacionalnu sigurnost, Agencija za zaštitu osobnih podataka, i tako dalje. Unutar ovog poglavlja nešto će više riječi biti o svakoj od institucija informacijske sigurnosti u Republici Hrvatskoj.

Nacionalni CERT

Nacionalni CERT osnovan je 2008. godine u skladu sa Zakonom o informacijskoj sigurnosti Republike Hrvatske i prema tom zakonu, jedna od najbitnijih zadaća Nacionalnog CERT-a je obrada incidenata koji se događaju na Internetu kako bi se osigurala informacijska sigurnost u Republici Hrvatskoj. Prema pravilniku o radu Nacionalnog CERT-a, obrada incidenta koji se dogodio na internetu obavlja se samo ako se jedan od učesnika u incidentu nalazi u prostoru granica Republike Hrvatske, to jest ako je u .hr domeni ili u hrvatskom IP adresnom prostoru. Nacionalni CERT također ima pravo donositi upute, preporuke, smjernice, savjete i mišljenja iz područja svog djelovanja i nadležnosti. Misija Nacionalnog CERT-a je prevencija i zaštita od računalnih ugroza sigurnosti javnih informacijskih sustava u Republici Hrvatskoj, a ciljevi Nacionalnog CERT-a su da unutar svoga djelovanja provodi proaktivne i reaktivne mjere.

Proaktivnim mjerama se nastoji djelovati prije incidenata i drugih događaja koji mogu ugroziti sigurnost informacijskih sustava, a poduzimaju se kako bi se spriječilo i ublažilo nastajanje mogućih šteta. Sve informacije o proaktivnim mjerama objavljuju se javno. Proaktivne mjere podrazumijevaju praćenje stanja na području računalne sigurnosti i objavljivanje sigurnosnih obavijesti kako bi se izvršila priprema za sprečavanje šteta; kontinuirano praćenje računalno-sigurnosnih tehnologija; javno objavljivanje novih informacija u svrhu edukacije najšire javnosti i unapređenju svijesti o značaju računalne sigurnosti; te provođenje detaljne edukativne obuke za specifične grupe korisnika.

Poduzimanjem reaktivnih mjera djeluje se na već postojeće incidente u Republici Hrvatskoj te na druge događaje koji mogu ugroziti računalnu sigurnost javnih informacijskih sustava u Republici Hrvatskoj. Reaktivne mjere podrazumijevaju izrađivanje i distribuiranje sigurnosnih upozorenja na temelju prikupljenih saznanja; prikupljanje, obrađivanje i priprema sigurnosnih preporuka o slabostima u informacijskim sustavima, te njihova javna distribucija i arhiviranje u informacijskom sustavu Nacionalnog CERT-a; koordiniranje rješavanja značajnijih incidenata u kojima je barem jedna strana koja je uključena u incident sa područja Republike Hrvatske. Računalno-sigurnosni incidenti koji su nastali ili za koje postoji mogućnost da nastanu unutar područja djelovanja Nacionalnog CERT-a, a za koje Nacionalni CERT ima ovlasti rješavanja su sljedeći:

  • uskraćivanje usluge (eng. Denial of Service, DoS)
  • uspješno kompromitiranje poslužiteljskih računala
  • nedozvoljene mrežne aktivnosti
  • SPAM
  • Phishing
  • ostale vrste računalno-sigurnosnih incidenata

Pri rješavanju značajnih računalno-sigurnosnih incidenata Nacionalni CERT se uključuje u pomoć sa svojim resursima prema određenim prioritetima, ti prioriteti su:

  • incidenti su potencijalna ugroza za živote ljudi
  • incidenti koji uključuju infrastrukturu Interneta u Republici Hrvatskoj
  • incidenti značajnog opsega
  • nove vrste ugrožavanja računalne sigurnosti
  • ostali incidenti

Nacionalni CERT financiran je od strane Hrvatske akademske i istraživačke mreže (CarNET) te surađuje sa mnogim institucijama informacijske sigurnosti Republike Hrvatske kao što su primjerice Zavod za sigurnost informacijskih sustava, Ured vijeća za nacionalnu sigurnost, Ministarstvo unutarnjih poslova Republike Hrvatske, itd. Među brojnim funkcijama koje Nacionalni CERT obavlja za održavanje informacijske sigurnosti Republike Hrvatske, ono nema ovlasti za operativno rješavanje problema i brigu o sigurnosti pojedinih sustava te nije u mogućnosti kazniti problematične korisnike niti pokrenuti krivične prijave.

[24] [25] [27]

CarNET CERT

Hrvatska akademska i istraživačka mreža, poznata još i kao CarNET 19. srpnja 1996. godine osnovala je Centar za prevenciju i otklanjanje problema vezanih uz sigurnost računalnih mreža, takozvani CarNET CERT (eng. CarNET Computer Emergency Response Team). Jedna od najvažnijih zadaća CarNET CERT-a bila je koordinacija u procesu rješavanja računalno-sigurnosnih incidenata u kojima je barem jedna od strana uključenih u incident sa područja Republike Hrvatske. CarNET CERT financirao se iz sredstava Državnog proračuna koji su u raspodjeli Ministarstva znanosti, obrazovanja i sporta planirana za redovitu djelatnost Hrvatske akademske i istraživačke mreže.

Kako je mrežna računalna sigurnost predstavljala problem na globalnoj razini, CarNET CERT često je surađivao sa različitim međunarodnim organizacijama u svrhu povećavanja sigurnosti korisnika Interneta u Republici Hrvatskoj. CarNET CERT je član međunarodne organizacije FIRST (eng. Forum of Incident Response Teams) od 1996. godine te je redovito sudjelovao u radu TERENA CSIRT Task Force organizacije. Od 2002. godine CarNET CERT ima status akreditiranog tima što predstavlja najviši status u sustavu klasifikacije europskih CSIRT (CERT) timova u TERENA projektu Trusted Introducer.

Da bi se omogućilo preventivno djelovanje, brža i jednostavnija razmjena informacija i upozorenja te što učinkovitija koordinacija pri rješavanju računalno-sigurnosnih incidenata, stvorena je hijerarhijski organizirana infrastruktura CERT timova na čijem se čelu nalazio Središnji državni CERT kao tijelo koje je upravljalo i koordiniralo svim ostalim tijelima u infrastrukturi. Funkciju CERT-a tijela državne vlasti u Republici Hrvatskoj obavlja Zavod za informacijsku sigurnost i kripto-zaštitnu tehnologiju (ZISKZT). Radi veće učinkovitosti u infrastrukturi su organizirani CERT-ovi zasebnih ministarstava kao što su primjerice Ministarstvo unutarnjih poslova (MUP) ili Ministarstvo oružanih snaga Republike Hrvatske (MORH). Ostali članovi infrastrukture predstavljaju CERT timove pružatelja internetskih usluga, telekomunikacijski operateri, te druge tvrtke koje pokazuju interes ili imaju utjecaj na funkcioniranje nacionalne informacijske infrastrukture. Na slici 1 moguće je vidjeti prikaz hijerarhijski organizirane Nacionalne CERT infrastrukture.

Jkolaric1.jpg

Slika 1: Hijerarhijski organizirana Nacionalna CERT infrastruktura

Izvor: Središnji državni ured za e-Hrvatsku – Nacionalni program informacijske sigurnosti u Republici Hrvatskoj (PDF dokument)

CarNET CERT se sve do 2008. godine trudio unaprijediti razinu računalne sigurnosti među korisnicima Interneta u Republici Hrvatskoj. Od 2008. godine sve zadaće koje je obavljao i ulogu koju je imao CarNET CERT preuzeo je Nacionalni CERT koji je osnovan zbog odredbi Zakona o informacijskoj sigurnosti, dok je CarNET CERT postao sastavni dio CarNET-ovog odjela za računalnu sigurnost te je kao takav preuzeo sve odgovornosti koje su vezane za .carnet.hr domenu te sve njene korisnike. Samim time je korisnicima i članovima Hrvatske akademske i istraživačke mreže omogućena kvalitetnija podrška vezana za pitanja informacijske sigurnosti.

[24] [25]

Zavod za sigurnost informacijskih sustava (ZSIS)

Zavod za sigurnost informacijskih sustava predstavlja središnje državno tijelo čija je funkcija obavljanje poslova u tehničkim područjima informacijske sigurnosti državnih tijela što obuhvaća standarde sigurnosti informacijskih sustava, sigurnosne akreditacije informacijskih sustava, upravljanje kriptomaterijalima koji se koriste u razmjeni klasificiranih podataka te koordinaciju prevencije i odgovora na računalne ugroze informacijske sigurnosti. Zavod za sigurnost informacijskih sustava osnovan je od strane Hrvatskog sabora 2006. godine kada je donesen Zakon o sigurno-obavještajnom sustavu.

Nadležnosti ZSIS-a vezane su uz sigurnost informacijskih sustava i mreža državnih tijela, upravljanje kriptomaterijalima koji se koriste u razmjenu klasificiranih podataka između državnih tijela, stranih država i organizacija. Također, ZSIS je zadužen za koordinaciju prevencije i otklanjanja problema vezanih uz sigurnost računalnih mreža u državnim tijelima. Obaveze ZSIS-a su nadzor tehničkih kriptografskih podataka, izbor, upravljanje i održavanje kriptografske opreme te koordinacija rada sa Uredom vijeća za nacionalnu sigurnost.

Zavod za sigurnost informacijskih sustava nije sa svojim radom započeo sve do lipnja 2007. godine kada se imenovao ravnatelj ZSIS-a. Nakon početka rada jedna od prvih zadaća bila je reguliranje standarda tehničkih područja sigurnosti informacijskih sustava donošenjem različitih pravilnika koji se primjenjuju na sva državna tijela, tijela jedinica lokalne i područne samouprave, pravne osobe s javnim ovlastima koje u svom krugu djelovanja koriste klasificirane i neklasificirane podatke kao i na pravne i fizičke osobe koje ostvaruju pristup ili postupaju s klasificiranim podacima. ZSIS je također zadužen i za trajno usklađivanje standarda tehničkih područja sigurnosti informacijskih sustava u Republici Hrvatskoj s međunarodnim standardima i preporukama kao i za sudjelovanje u nacionalnoj standardizaciji područja sigurnosti informacijskih sustava.

Jkolaric2.jpg

Slika 2: Obilježje Zavoda za sigurnost informacijskih sustava

Izvor: Službena web stranica Zavoda za sigurnost informacijskih sustava

[24] [25] [28]

Ured vijeća za nacionalnu sigurnost (UVNS)

Ured vijeća za nacionalnu sigurnost ili skraćeno UVNS predstavlja središnje državno tijelo koje je zaduženo za informacijsku sigurnost, koje koordinira, usklađuje donošenje i nadzire primjenu mjera i standarda informacijske sigurnosti u Republici Hrvatskoj. Ured vijeća za nacionalnu sigurnost može se usporediti sa američkim NSA čije bi funkcije UVNS trebao obnašati za područje Republike Hrvatske.U UVNS-u postoji ustrojen središnji registar koji je nadležan za prijem i distribuciju međunarodnih klasificiranih podataka te za koordinaciju rada Sustava registara u državnim tijelima Republike Hrvatske koja primaju međunarodne klasificirane podatke. Hrvatski Sabor je osnovao UVNS zajedno sa ZSIS-om 2006. godine donošenjem zakona o sigurnosno – obavještajnom sustavu.

Dužnosti UVSN-a su da obavlja stručne i administrativne poslove za Vijeće za nacionalnu sigurnost i Savjet za koordinaciju sigurnosno – obavještajnih agencija te poslove koji Predsjedniku Republike i Vlade omogućavaju nadzor nad radom sigurnosno – obavještajnih agencija i tijela sigurnosno obavještajnog sustava. Ured vijeća za nacionalnu sigurnost na temelju uradaka obavještajnih agencija izrađuje objedinjena i periodična izvješća te strategijske procjene za potrebe Predsjednika Republike i Vlade. Također, UVNS nastoji dati svoj doprinos poslovima nacionalne sigurnosti koji se ostvaruju na dobrobit slobode, prosperiteta i sigurnosti svih državljana. U UVSN-u možemo razlikovati nacionalne i međunarodne nadležnosti među kojima postoje brojna zaduženja i odgovornosti. Nacionalne nadležnosti su nadležnosti koje UVSN ima za područje Republike Hrvatske, a neke od zaduženja i odgovornosti UVSN-a u nacionalnoj nadležnosti su:

  • izdavanje sigurnosnih certifikata za fizičke osobe, državljane Republike Hrvatske koji postupaju sa klasificiranim podacima te izdavanje certifikata poslovne sigurnosti za pravne osobe koje sklapaju klasificirane ugovore
  • provođenje edukacije te koordinacije i usklađivanje rada savjetnika za informacijsku sigurnost i sigurnost koordinatora u tijelima i pravnim osobama
  • koordinacija i usklađivanje rada ZSIS-a kao nacionalnog NCSA, SAA i NDA tijela te CarNET-a kao nacionalnog CERT-a

Što se tiče međunarodne nadležnosti UVSN-a, ona se odnosi na nadležnosti koje UVSN ima za područja izvan Republike Hrvatske, a neke od zaduženja i odgovornosti UVSN-a u međunarodnoj nadležnosti su:

  • sigurnost NATO/EU klasificiranih podataka u nacionalnim tijelima, vojnim i civilnim, u tuzemstvu i inozemstvu
  • uspostavljanje i koordinacija rada Sustava registara Republike Hrvatske nadležnog za distribuciju međunarodnih klasificiranih podataka
  • osiguravanje provedbe tehničkih mjera sigurnosti informacijskih sustava i nadziranje rada NCSA i NDA tijela

Vezano za analitiku i nadzor kao zadaće Ureda vijeća za nacionalnu sigurnost, analitičke zadaće započinju sa kontinuiranim praćenjem izvještajne produkcije agencija. UVNS temeljem zaprimljenih izvješća prati zakonitost, svrsishodnost i djelotvornost agencija , te usklađenost izvješća agencija s aktima i odlukama kojima se usmjerava rad sigurnosno – obavještajnih agencija. Stručni nadzor nad radom sigurnosno – obavještajnih agencija predstavlja jednu od najvažnijih zadaća uz analitiku. UVNS putem nadzornih aktivnosti prati zakonitost rada sigurnosno – obavještajnih agencija, ostvarivanje propisanih ciljeva i djelokruga rada, djelotvornost i svrsishodnost rada, primjenu mjera tajnog prikupljanja podataka te koordinaciju i suradnju među sigurnosno – obavještajnim agencijama. Rezultati koje UVNS uz pomoć nadzornih aktivnosti dostavljaju se Predsjedniku Republike i Vlade te omogućuju provođenje ustavnih ovlasti iz područja nacionalne sigurnosti. Na slici 3 moguće je vidjeti shematski prikaz pozicije UVNS-a u sigurnosno – obavještajnom sustavu Republike Hrvatske.

Jkolaric3.jpg

Slika 3: Shematski prikaz pozicije UVNS-a u sigurnosno - obavještajnom sustavu RH

Izvor: Službena web stranica Ureda vijeća za nacionalnu sigurnost

[24] [25] [29]

Agencija za podršku informacijskim sustavima i informacijskim tehnologijama (APIS IT d.o.o.)

Agencija za podršku informacijskim sustavima i informacijskim tehnologijama ili skraćeno APIS IT d.o.o. je tvrtka koja je osnovana ugovorom između Vlade Republike Hrvatske i Grada Zagreba krajem 2005. godine. Razlog njezinog osnivanja bio je kako bi tvrtka mogla obavljati poslove razvoja i podrške ključnim informacijskim sustavima Republike Hrvatske i Grada Zagreba te razvijati aplikativne servise i čuvati potrebne informacijske baze što predstavlja temelj funkcioniranja moderne elektronički podržane uprave. Uloga tvrtke APIS IT d.o.o. u stvaranju informacijskog društva je razvijanje i praćenje implementacije smjernica, normi i politike za razvoj e-uprave, davanje podrške tijelima državne uprave u razvoju vlastite strategije e-poslovanja, razvijanje i podupiranje zajedničke računalno-komunikacijske i aplikacijske infrastrukture, promoviranje primjene najboljih iskustava u upravljanju informacijskim sustavima, uključujući i zaštitu osobnih podataka, te razvijanje zajedničkih elektroničkih usluga i centralni pristup informacijskim resursima državne uprave uz odgovarajuću autorizaciju i autentikaciju.

Cilj tvrtke APIS IT d.o.o. je kontinuirana izgradnja i održavanje sustava koji će omogućiti istodobnu i međusobnu komunikaciju unutar tijela javne uprave, kao i komunikaciju sa europskim organizacijama i institucijama, realizirajući pri tome željeni projekt iskoraka državne i lokalne uprave u transparentniju, bržu, učinkovitiju i građanima prilagođeniju upravu.

Vizija APIS IT d.o.o. je postati nacionalni referentni centar razvoja i IT podrške umrežene korisnički usmjerene uprave Republike Hrvatske i prvi izbor u pružanju IT servisa u javnom sektoru. Misija tvrtke je pružati strateške, stručne i provedbene usluge vlasnicima i javnom sektoru Republike Hrvatske u planiranju, razvoju, podršci i održavanju poslovno-informacijskih sustava po principima umrežene korisnički usmjerene uprave.

[24] [25] [29]

Agencija za zaštitu osobnih podataka (AZOP)

Agencija za zaštitu osobnih podataka ili kraće AZOP predstavlja pravnu osobu sa javnim ovlastima koja samostalno i neovisno obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o zaštiti osobnih podataka. Zaštita osobnih podataka kao i nadzor nad prikupljanjem obradom i korištenjem osobnih podataka u Republici Hrvatskoj uređeni su Zakonom o zaštiti osobnih podataka, a sama svrha zaštite osobnih podataka zaštita je privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka. Zaštita osobnih podataka je u Republici Hrvatskoj osigurana svakoj fizičkoj osobi bez obzira na njezino državljanstvo i prebivalište te neovisno o rasi, spolu, jeziku, vjeri, političkom ili drugom uvjerenju, imovini, naobrazbi, društvenom položaju i drugim osobinama.

Djelatnost same Agencije odnosi se na obavljanje upravnih i stručnih poslova u svezi sa zaštitom osobnih podataka. U okviru svojih javnih ovlasti upravni poslovi Agencije su nadziranje provođenja zaštite osobnih podataka, ukazivanje na uočene zlouporabe prikupljanja osobnih podataka, sastavljanje liste država i međunarodnih organizacija koje imaju odgovarajuće uređenu zaštitu osobnih podataka, rješavanje povodom zahtjeva za utvrđivanje povrede prava zajamčenih Zakonom o zaštiti osobnih podataka te vođenje Središnjeg registar zbirki osobnih podataka i ostali upravni poslovi. Agencija također obavlja i stručne poslove prema odredbama Zakona o zaštiti osobnih podataka, ti stručni poslovi se odnose na praćenje uređenja zaštite osobnih podataka u drugim zemljama i surađivanje s tijelima nadležnim za nadzor nad zaštitom osobnih podataka u drugim zemljama, nadziranje iznošenja osobnih podataka iz Republike Hrvatske, izrađivanje metodološke preporuke za unaprjeđenje zaštite osobnih podataka i njihova dostava voditeljima zbirki osobnih podataka, praćenje primjene organizacijskih i tehničkih mjera za zaštitu osobnih podataka te predlaganje poboljšanja tih mjera i mnoge druge poslove koji su određeni Zakonom o zaštiti osobnih podataka.

Agencija minimalno jednom godišnje izvještava Hrvatski Sabor o svome radu na njegov zahtjev, a godišnja izvješća sadržavaju cjelovitu analizu stanja u području zaštite osobnih podataka, prikaz postupaka pokrenutih na temelju odredbi zakona o zaštiti osobnih podataka, naložene mjere te podatke o stupnju poštivanja prava građana u obradi osobnih podataka.

[25] [30]

Središnji državni ured za e-Hrvatsku

Središnji državni ured za e-Hrvatsku osnovan je od strane Vlade Republike Hrvatske u prosincu 2003. godine s primarnim ciljem koordinacije i provedbe aktivnosti Programa e-Hrvatska 2007 te poticanja razvoja informacijskog društva u Hrvatskoj. Središnji državni ured za e-Hrvatsku bio je izravno nadležan za razvoj informatičke infrastrukture u državnoj upravi, kao i povezivanje informacijskih sustava tijela državne uprave uz racionalizaciju porabe informatičkih resursa u državnoj upravi. Središnji državni ured za e-Hrvatsku također je bio nadležan i za utvrđivanje i izradu stručnih i zakonskih podloga pridruživanja Republike Hrvatske Europskoj uniji u području razvoja informacijskog društva te primjene informacijske i komunikacijske tehnologije. Predviđeno je da Središnji državni ured za e-Hrvatsku bude nositelj organizacijske i nadzorne odgovornosti vlasnika informacijske infrastrukture kao središnje tijelo u procesu informatizacije državne uprave iz razloga što neka tijela državne vlasti nemaju adekvatne informacijsko-komunikacijske ustrojstvene jedinice.

Sa svojim radom Središnji državni ured za e-Hrvatsku prestaje 2011. godine kada je prema odredbi Zakona o ustrojstvu i djelokrugu ministarstava i drugih središnjih tijela državne uprave sve poslove Središnjeg državnog ureda za e-Hrvatsku preuzelo Ministarstvo uprave.

[25]

--Jkolaric 22:28, 19. siječnja 2015. (CET)

Zakoni Republike Hrvatske vezani uz informacijsku sigurnost

Zakon o informacijskoj sigurnosti

Zakona o informacijskoj sigurnosti donio je Hrvatski sabor 13. srpnja 2007. godine.

Osnovni pojmovi

Informacijska sigurnost - je stanje povjerljivosti, cjelovitosti i raspoloživosti podataka, koje se postiže primjenom propisanih mjera i standarda informacijske sigurnosti te organizacijskom podrškom za poslovne planiranja, provedbe, provjere i dorade mjera i standarda.

Mjere informacijske sigurnosti - su opća pravila zaštite podataka koja se realiziraju na fizičkoj, tehničkoj ili organizacijskoj razini.

Standardi informacijske sigurnosti - su organizacijske i tehničke procedure i rješenja namijenjena sustavnoj i ujednačenoj provedbi propisanih mjera informacijske sigurnosti.

Područja informacijske sigurnosti - predstavljaju podjelu informacijske sigurnosti na pet područja s ciljem sustavne i učinkovite realizacije donošenja, primjene i nadzora mjera i standarda informacijske sigurnosti.

Sigurnosna akreditacija informacijskog sustava - je postupak u kojem se utvrđuje osposobljenost tijela i pravnih osoba za upravljanje sigurnošću informacijskog sustava, a provodi se utvrđivanjem primijenjenih mjera i standarda informacijske sigurnosti.

Informacijski sustav - je komunikacijski, računalni ili drugi elektronički sustav u kojem se podaci obrađuju, pohranjuju ili prenose, tako da budu dostupni i upotrebljivi za ovlaštene korisnike.

Osnovne odredbe Zakona o informacijskoj sigurnosti

Zakonom o informacijskoj sigurnosti primjenjuje se na:

  • tijela jedinica lokalne i regionalne samouprave
  • državna tijela
  • pravne osobe s javnim ovlastima koje koriste klasificirane i neklasificirane podatke
  • pravne i fizičke osobe koje koriste klasifirane i neklasificirane podatke

U ovom zakonu opisan je i utvrđen pojam informacijske sigurnosti, navedene su mjere i standardi informacijske sigurnosti te područja u kojima treba primjenjivati informacijsku sigurnost. Isto tako, definirana su i određena nadležna tijela zadužena za donošenje, nadzor i provođenje informacijske sigurnosti.

Mjere i standardi informacijske sigurnosti

Prema Zakonu o informacijskoj sigurnosti mjere i standardi informacijske sigurnosti utvrđuju se za klasificirane i neklasificirane podatke, sukladno stupnju tajnosti, broju, vrsti te ugrozama podataka. Stupnjevi tajnosti klasificiranih podataka su: povjerljuvo, tajno i vrlo tajno. Prema istom zakonu mjere i standardi infomacijske sigurnosti obuhvaćaju:

  • nadzor pristupa i postupanja s klasificiranim podacima
  • postupanje prilikom neovlaštenog otkrivanja i gubitka klasificiranih podataka
  • planiranje mjera prilikom izvanrednih situacija
  • ustrojavanje posebnih fondova podataka za podatke klasificirane u Republici Hrvatskoj te za klasificirane podatke koje je predala druga država, međunarodna organizacija ili institucija s kojom Republika Hrvatska surađuje.

Mjerama i standardima informacijske sigurnosti utvrđuju se minimalni kriteriji za zaštitu klasificiranih i neklasificiranih podataka u tijelima i pravnim osobama. Postoje različita područja informacijske sigurnosti za koja se propisuju mjere i standardi informacijske sigurnosti, a to su:

  • sigurnosna provjera
  • fizička sigurnost
  • sigurnost podatka
  • sigurnost informacijskog sustava
  • sigurnost poslovne suradnje

Primjena Zakona o informacijskoj sigurnosti

Prema ovom Zakonu jasno je određeno i definirano na koji će način neko poduzeće postupati sa svojom vlastitom sigurnosti. Ovisno o tome o kojem se području informacijske sigurnosti radi, Zakon o informacijskoj sigurnosti propisuje različite mjere i standarde informacijske sigurnost. Područja informacijske sigurnosti, u prethodnom odlomku, naveli smo i opisali na način na koji se spominju u Zakonu.


Sigurnosna provjera - je područje informacijske sigurnosti u okviru kojeg se utvrđuju mjere i standardi informacijske sigurnosti koji se primjenjuju na osobe koje imaju pristup klasificiranim podacima. Sigurnosna provjera primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima, koje koriste klasificirane podatke (stupnja: povjerljivo, tajno i vrlo tajno). Prema ovom Zakonu, sve osobe koje imaju pristup klasificiranim podacima moraju proći sigurnosnu provjeru. Prilikom obavljanja sigurnosne provjere, osoba koja je provjeravana dobije potvrdu o položenoj sigurnosnoj provjeri, odnosno certifikat. Također, svako poduzeće koje posjeduje klasificirane podatke mora sastaviti popis osoba koje imaju prava pristupa podacima i popis njihovih položenih certifikata za prava pristupa.


Fizička sigurnost - je područje informacijske sigurnosti u okviru kojeg se utvrđuju mjere i standardi informacijske sigurnosti za zaštitu objekta, prostora i uređaja u kojem se nalaze klasificirani podaci.

Fizička sigurnost primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima, koje koriste klasificirane i neklasificirane podatke (stupnja: povjerljivo, tajno i vrlo tajno). Primjenom fizičke sigurnosti informacijskog sustava potrebno je odrediti važnost pojedinih objekata i prostora koji se žele zaštititi, sastaviti popis sigurnosnih zona i na temelju Zakona o informacijskoj sigurnosti primijeniti potrebne mjere zaštite.


Sigurnost podatka - je područje informacijske sigurnosti za koje se utvrđuju mjere i standardi informacijske sigurnosti koje se primjenjuju kao opće zaštitne mjere za prevenciju, otkrivanje i otklanjanje štete od gubitka ili neovlaštenog otkrivanja klasificiranih i neklasificiranih podataka. Sigurnost podataka primjenjuje se na državna tijela, tijela jedinica lokalne i područne samouprave te na pravne osobe s javnim ovlastima, koje koriste klasificirane i neklasificirane podatke (stupnja: povjerljivo, tajno i vrlo tajno). Primjenom sigurnosti podataka, prema Zakonu o informacijskoj sigurnosti, tijela i pravne osobe iz prethodne rečenice dužne provoditi mjere i standarde informacijske sigurnosti vezane uz sigurnos podataka, evidenciju o izvršenim uvidima u klasificirane podatke te nadzor sigurnosti podataka.


Sigurnost informacijskog sustava - je područje informacijske sigurnosti u okviru kojeg se utvrđuju mjere i standardi informacijske sigurnosti klasificiranog i neklasificiranog podatka koji se obrađuje, pohranjuje ili prenosi u informacijskom sustavu te zaštite cjelovitosti i raspoloživosti informacijskog sustava u procesu planiranja, projektiranja, izgradnje, uporabe, održavanja i prestanka rada informacijskog sustava. O sigurnosti informacijskog sustava govori članak 12. Zakona o zaštiti informacijskih sustava. Sigurnost informacijskog sustava provodi se i primjenjuje u informacijskim sustavima koji posjeduju klasificirane podatke stupnja tajnosti: povjerljivo, tajno i vrlo tajno. Sigurnost informacijskog sustava moguće je primjeniti na državnim tijelima, tijelima jedinica lokalne i područne samouprave te na pravnim osobama s javnim ovlastima, koje koriste klasificirane i neklasificirane podatke. Osoba koja koristi podatke unutar takvog informacijskog sustava mora imati certifikat stupnja tajnosti vrlo tajno ili za jedan stupanj više od najvišeg stupnja tajnosti podatka koji se nalazi unutar informacijskog sustava. Sigurnost informacijskog sustava postiže se i kvalitetnom i primjerenom provedbe mjera fiziče zaštite.


Sigurnost poslovne suradnje - je područje informacijske sigurnosti u kojem se primjenjuju propisane mjere i standardi informacijske sigurnosti za provedbu natječaja ili ugovora s klasificiranom dokumentacijom koji obvezuju pravne i fizičke osobe iz članka 1. stavka 3. ovoga Zakona.

Prilog: Zaštita podataka

[32]

Zakon o tajnosti podataka

Osnovni pojmovi

Podatak - skup znakova zapisanih na nekom mediju koji imaju određeno značenje za svog vlasnika

Klasificirani podatak - je podatak kojem je nadležno tijelo odredilo stupanj tajnost ili kojeg je u Republiku Hrvatsku kao takvog predala neka druga država, međunarodna organizacija ili institucija.

Neklasificirani podatak - je podatak koji nema utvrđeni stupanj tajnosti ili podatak kojeg je u Republiku Hrvatsku kao takvog predala neka druga država, međunarodna organizacija ili institucija

Klasifikacija podatka - je postupak utvrđivanja stupnja tajnosti podatka s obzirom na stupanj ugroze. Stupnjevi tajnosti mogu biti: vrlo tajno, tajno, povjerljivo i ograničeno. Klasifikacijom podataka, podatak postaje klasificiran.

Deklasifikacija podatka - je postupak kojim se utvrđuje prestanak postojanja razloga zbog kojeg je neki podatak bilo klasificiran jednim od stupnjeva tajnosti. Deklasifikacijom podataka, podatak postaje deklasificiran.

Vlasnik podatka - je nadležno tijelo u okviru čijeg djelovanja je klasificirani ili neklasificirani podatak nastao

Certifikat - je potvrda koja se izdaje osobi koja je uspješno prošla sigurnosnu provjeru. Uz pomoć dobivene potvrde moguće je pristupiti klasificiranim podacima.

Osnovne odredbe Zakona o tajnosti podataka

Zakon o tajnosti podataka donio je Hrvatski sabor na sjednici koja se održala 13. srpnja 2007. godine. Zakonom o tajnosti podataka utvrđuje se:

  • pojam klasificiranih i neklasificiranih podataka
  • stupnjevi tajnosti
  • postupak klasifikacije i deklasifikacije
  • pristup klasificiranih i neklasificiranim podacima
  • zaštita podataka
  • nadzor nad provedbom Zakona o tajnosti podataka

Zakon o tajnosti podataka primjenjuje se na:

  • državna tijela
  • tijela jedinica lokalne i područne samouprave
  • pravne osobe s javnim ovlastima
  • pravne i fizičke osobe koje, u skladu s ovim zakonom, koriste klasificirane i neklasificirane podatke

Stupnjevi tajnosti klasificiranih podataka:

  • ograničeno
  • povjerljivo
  • tajno
  • vrlo tajno

Neovlašteno korištenje podataka stupnjeva tajnosti "Vrlo tajno", "Tajno", "Povjerljivo" nanijelo bi veliku štetu u nacionalnoj sigurnosti i njenim vitalnim organima. Prema Zakonu o tajnosti podataka posebno bi se osjetile posljedice u sljedećim vrijednostima: temelji Ustavom utvrđenog ustrojstva Republike Hrvatske, neovisnost, cjelovitost i sigurnost Republike Hrvatske, međunarodni odnosti Republike Hrvatske, obrambena sposobnost i sigurnost-obavještajni sustav, sigurnost građana, osnove gospodarskog i financijskog sustava Republike Hrvatske i znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost republike Hrvatske. Za razliku od navedenih stupnjeva, neovlaštenim korištenjem i otkrivanjem podataka stupnja tajnosti "Ograničeno" nanijelo bi štetu izvršavanju zadaća državnih tijela. Nanesena šteta posebno bi se odrazila na obavljanje sljedećih poslova: poslovi koji se obavljaju u području obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka, znanosti, tehnologije, javnih financija i gospodarstva.

U postupnu klasifikacije podataka vlasnik podatka dužan je odrediti najniži potreban stupanj tajnosti kako bi podatak bio zaštićen u željenoj mjeri. Klasifikaciju podataka stupnjeva tajnosti "Vrlo tajno" i "Tajno" mogu učiniti:

  • predsjednik Republike Hrvatske
  • predsjednik Hrvatskog sabora
  • predsjednik Vlade Repblike Hrvatske
  • ministri
  • glavni državni odvjetnik
  • načelnik Glavnog stožera Oružanih snaga Republike Hrvatske
  • čelnici tijela sigurnosno-obavještajnog sustava Republike Hrvatske
  • osobe koje su ovlaštene od strane gore navedenih

Podatke stupnja tajnosti "Povjerljivo" i "Ograničeno" također mogu klasificirati gore navedene osobe, kao i čelnici ostalih državnih tijela. Vlasnik podatka dužan je napraviti periodičnu procjenu tajnosti nekog podatka te na temelju obavljene procjene može promijeniti stupanj tajnosti ili izvršiti deklasifikaciju podatka. Ako dođe do promjene stupnja tajnosti podatka ili eventualne deklasifikacije vlasnik podatka dužan je pisanim izvještajem obavjestiti sva tijela kojima je podatak bio dostavljen i koja su koristila podatak. Periodične procjene izrađuju se u pisanom obliku za svaki stupanj tajnosti i obavljaju se najmanje jednom u pet godina za stupanj tajnosti podatka "Vrlo tajno", najmanje jedno u četiri godine za stupanj tajnosti "Tajno", najmanje jednom u tri godine za stupanj tajnosti "Povjerljivo" i najmanje jednom u dvije godine za stupanj tajnosti "Ograničeno".

Pristup podacima označenim jednim od stupnjeva tajnosti imaju osobne koje su položile sigurnosnu provjeru i koje su za to dobile certifikat. Državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, pravne osobe s javnim ovlastima te pravne i fizičke osobe mogu zatražiti pismenim putem izdavanje certifikata za svoje zaposlenike ako smatraju da bi baš ti zaposlenici trebali imati pristup klasificiranim podacima. Certifikat za rukovanje podacima izdaje Ured Vijeća za nacionalnu sigurnost, a za podatke stupnja tajnosti "Vrlo tajno" i "Tajno" izdaje se na pet godina. Certifikat ne moraju posjedovati sudac i Glavni državni odvjetnik, državni tajnik središnjeg državnog ureda, ministar i saborski zastupnici i to za pristup podacima različitih stupnjeva tajnosti, koji se nalaze unutar domene njihova djelovanja. Osobe koje imaju potrebu pristupati klasificiranim podacima dtuge države i međunarodne organizacije moraju za to posjedovati certifikat propisan sigurnosnim sporazumom ili međunarodnim ugovorom. Takavu vrstu certifikata izdaje Ured Vijeća za nacionalnu sigurnost i to na temelju zahtjeva nadležnog tijela. Postupcima certificiranja izuzeti su: Predsjednik Republike Hrvatske, predsjednik Vlade Republike Hrvatske i predsjednik Hrvatskog sabora. Sve osobe koje su u nekom trenutku postupale s klasificiranim podacima i koje su posjedovale certifikat za takvo postupanje, dužne su čuvati podatak u tajnosti sve dok je podatak označen jednim od stupnjeva tajnosti ili dok vlasnik podatka ne odluči drugačije. U slučaju da dođe do uništenja klasificiranog podatka ili podatak postane dostupan osobama koje za to nemaju certifikat, vlasnik podatka mora poduzeti brojne mjere kako bi spriječio eventualne štetne posljedice. Također, vlasnik klasificiranog podatka obavještava Ured Vijeća za nacionalnu sigurnost i pokreće postupak kojim će utvrditi tko je odgovoran za incident.

Zadaci Ureda Vijeća za nacionalnu sigurnost vezanih uz ovaj Zakon su da obvezuje vlasnika certifikata da:

  • čuva nacionalnu sigurnost
  • se pridržava svih propisa
  • provodi nadzor nad postupcima klasifikacije i deklasifikacije podataka
  • kontrolira način na koji se ostvaruju prava pristupa klasificiranim i neklasificiranim podacima
  • provodi mjere za zaštitu pristupa klasificiranim podacima
  • izvršava obveze koje su proizašle iz međunarodnih ugovora i sporazuma o zaštiti tajnih podataka

Predstojnik Ureda Vijeća za nacionalnu sigurnost ovlašten je da:

  • utvrdi činjenično stanje
  • pruža upute za otklanjanje utvrđenih nedostataka
  • pokrene postupak utvrđivanja odgovornosti vlasnika podataka
  • pokrene ostale akcije za koje ima zakonodavne ovlasti

Lblazek1.jpg

Slika 4: Ured Vijeća za nacionalnu sigurnost

Izvor: http://upload.wikimedia.org/wikipedia/commons/1/1a/Ured_vije%C4%87a_za_nacionalnu_sigurnost.gif

Prije stupanja na snagu Zakona o tajnosti podataka, Republika Hrvatska podatke je klasificirala podatke na:

  • Državna tajna
  • Službena tajna-vrlo tajno i Vojna tajna-vrlo tajno
  • Službena tajna-tajno i Vojna tajna-tajno
  • Službena tajna-povjerljivo i Vojna tajna-tajno

Nakon stupanja Zakona o tajnosti podataka, navedeni pojmovi stupnja podataka prelaze u nove, odnosno dobivaju nova imena.

  • DRŽAVNA TAJNA prelazi u VRLO TAJNO
  • SLUŽBENA TAJNA-VRLO TAJNO i VOJNA TAJNA-VRLO TAJNO prelaze u TAJNO
  • SLUŽBENA TAJNA-TAJNO i VOJNA TAJNA-TAJNO prelazi u POVJERLJIVO
  • SLUŽBENA TAJNA-POVJERLJIVO i VOJNA TAJNA-POVJERLJIVO prelazi u OGRANIČENO

Certifikati koje je Ured Vijeća za nacionalnu sigurnost izdao do stupanja na snagu ovoga Zakona vrijede do isteka roka označenog na certifikatu.

[33]

Zakon o zaštiti osobnih podataka

Pravo na zaštitu osobnih podataka jedno je od temeljnih prava svakog čovjeka. Svrha zaštite osobnih podataka je zaštita privatnog života i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka. Zaštita osobnih podataka u RH ustavna je kategorija te je svakom građaninu zaštita ljudskih prava i temeljnih sloboda zajamčena bez obzira na državljanstvo, spol, vjeru i sl. Zakonom o zaštiti osobnih podataka se uređuje zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj.

Neki od važnijih pojmova u zakonu su osobni podatak - svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati, obrada osobnih podataka - svaka radnja izvršena na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, brisanje, privola ispitanika - je izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe. [10]

Obrada osobnih podataka, osobni podaci mogu se prikupljati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni. Osobni podaci se moraju čuvati ne duže no što je potrebno za svrhu u koju se prikupljaju ili obrađuju.

Osobni podaci smiju se prikupljati i dalje obrađivati isključivo:

  • uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu
  • u slučajevima određenim zakonom
  • u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka
  • u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka
  • u svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u slučaju kada ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak
  • ako je ispitanik sam objavio te podatke
  • ako je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih podataka ili treća strana kojoj se podaci dostavljaju. [10]

Zabranjeno je prikupljanje i daljnja obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku. Iznimno, gore navedeni podaci mogu se i prikupljati i dalje obrađivati: [10]

  • uz privolu ispitanika
  • ako je obrada podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa
  • ako je obrada nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe kada ispitanik zbog fizičkih ili pravnih razloga nije u mogućnosti dati svoju privolu
  • ako je obrada podataka potrebna radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom
  • ako je ispitanik sam objavio te podatke
  • ako je obrada podataka potrebna u svrhe preventivne medicine, medicinske dijagnoze, zdravstvene skrbi ili upravljanja zdravstvenim službama

Prije prikupljanja bilo kojih osobnih podataka, voditelj zbirke osobnih podataka ili izvršitelj obrade dužan je informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, da li se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka.

Osobni podaci su primjerice: [11]

  • Podaci o zdravlju
  • Identifikacijska oznaka građana
  • Podaci o plaći
  • Ocjena đaka u školi, ponašanje
  • Bankovni računi
  • Porezne prijave
  • Podaci o posudbi
  • Biometrički podaci (npr. otisak prsta)
  • Broj putovnice, broj osobne iskaznice i sl.

Posebne kategorije osobnih podataka: [11]

  • osobni podaci koji se odnose na rasno ili etičko podrijetlo
  • politička stajališta
  • vjerska ili druga uvjerenja
  • sindikalno članstvo
  • zdravlje ili spolni život
  • osobni podaci o kaznenom i prekršajnom postupku

Osobni podaci nisu: [11]

  • matični broj pravne osobe,
  • naziv pravne osobe,
  • poštanska adresa pravne osobe,
  • e-mail pravne osobe,
  • financijski podaci pravne osobe,
  • podaci o umrlima i sl.

Za obavljanje nadzora nad obradom osobnih podataka ovim se Zakonom osniva Agencija za zaštitu osobnih podataka (azop). Na sljedećoj poveznici se nalazi video [1] o zaštiti osobnih podataka.

--Nsikavic 00:58, 20. siječnja 2015. (CET)

Zakon o elektroničkoj ispravi

Osnovni pojmovi

Elektronička isprava - jednoznačno povezan cjelovit skup podataka koji su elektronički oblikovani (izrađeni pomoću računala i drugih elektroničkih uređaja), poslani, primljeni ili sačuvani na elektroničkom, magnetnom, optičkom ili drugom mediju, i koji sadrži svojstva kojima se utvrđuje izvor (stvaratelj), utvrđuje vjerodostojnost sadržaja te dokazuje postojanost sadržaja u vremenu. Sadržaj elektroničke isprave uključuje sve oblike pisanog teksta, podatke, slike i crteže, karte, zvuk, glazbu, govor.

Dokumentacijsko svojstvo – obvezatni skup podataka, poput elektroničkog potpisa, vremena izrade, naziva stvaratelja i drugih, koji se ugrađuju u elektroničku ispravu u svrhu zadržavanja vjerodostojnosti, cjelovitosti i valjanosti kroz vremensko razdoblje utvrđeno zakonima i drugim propisima.

Elektronički potpis – znači napredan elektronički potpis utvrđen Zakonom o elektroničkom potpisu i kojim se pouzdano jamči identitet potpisnika i udovoljava zahtjevima sadržanim u članku 4. Zakona o elektroničkom potpisu

Stvaratelj – fizička ili pravna osoba koja primjenom elektroničkih sredstava (uređaji i programi) izrađuje, oblikuje i potpisuje elektroničku ispravu svojim naprednim elektroničkim potpisom Pošiljatelj – fizička ili pravna osoba koja šalje ili u ime koje se primatelju šalje elektronička isprava i ne uključuje informacijskog posrednika

Primatelj – fizička ili pravna osoba koja prima njoj upućenu elektroničku ispravu i ne uključuje informacijskog posrednika

Dokumentacijski ciklus – promet elektroničke isprave od trenutka izrade do arhiviranja uključujući radnje izrade, slanja, primanja, pohranjivanja i čuvanja s pridruženim postupcima unošenja i ovjere podataka kojima se potvrđuje stvaratelj, pošiljatelj, primatelj, vrijeme otpreme i vrijeme prijema, vjerodostojnost i cjelovitost elektroničke isprave

Informacijski sustav – informacijsko-komunikacijski sklop kao skup programa, informatičkih i telekomunikacijskih uređaja, metoda i postupaka primijenjenih u postupcima izrade, slanja, primanja, provjere i čuvanja elektroničkih isprava

Djelatnik informacijskog sustava – fizička osoba koja izravno djeluje u informacijskom sustavu u postupcima rukovanja elektroničkim ispravama

Informacijski posrednik – fizička ili pravna osoba koja u ime drugih obavlja otpremu, prijem, prijenos i čuvanje elektroničkih isprava

Elektronička arhiva – skup elektroničkih isprava uređenih u dokumentacijske cjeline u skladu sa zakonom i drugim propisima kojima se uređuju postupci čuvanja i arhiviranja isprava

Osnovne odredbe Zakona o elektroničkoj ispravi

Zakona o elektroničkoj ispravi donio je Hrvatski sabor 9. prosinca 2005. godine.

Zakon o elektroničkoj upravi uređuje pravo fizičkih i pravnih osoba na uporabu elektroničke uprave u svi poslovnim radnjama i djelatnostima te postupcima koji se vode pred tijelima javne vlasti u kojima se elektronička oprema i programi mogu primjenjivati u izradi, prijenosu, pohrani i čuvanju informacija u elektroničkom obliku, pravna valjanost elektroničke isprave te uporaba i promet elektroničkih isprava. Zakon o elektroničkoj ispravi može se primijeniti u svim slučajevima u kojima je dozvoljeno korištenje elektroničkog potpisa. U takvim situacijama elektronička isprava pravno vrijedi isto koliko i papirnati dokument. U slučajevima gdje se traži isključiva uporaba, ovaj Zakon nije moguće primijeniti.

Tijela javne vlasti su:

  • državna tijela
  • tijela jedinica lokalne i područne (regionalne) samouprave
  • pravne osobe s javnim ovlastima
  • druge osobe na koje su prenesene javne ovlasti

Elektronička isprava sastoji se od dva dijela:

  • opći dio - predmetni sadržaj isprave
  • posebni dio - elektronički potpis i dokumentacijska svojstva ( podaci o vremenu nastajanja elektroničke isprave, podaci o završetku izrade elektroničke isprave...

Obrazac prikaza elektroničke isprave:

  • unutarnji obrazac - možemo ga nazvati pozadinom elektroničkog obrasca.
  • vanjski obrazac - možemo ga nazvati prednji dio elektroničkog obrasca koji je razumljiv običnim korisnicima i koji se prikazuje na računalnom zaslonu.

U slučaju da se neka elektronička isprava želi isprintati na papir, kako bi bila valjana i važeća, potrebno je uvjeriti je uz primjenu zakona i drugih propisa. Ovjeru elektroničke isprave obavljaju osobe u tijelima javne vlasti koje su ovlaštene za takve postupke i javni bilježnici. U raznim radnjama i postupcima često je slučaj da se isključivo traži orginalni dokument ili ovjerena kopija, te u tim slučajevima nije moguće dostaviti elektroničku ispravu bez da je prije ovjerena. Kao primjer navedene situacije mogu nam poslužiti razni natječaji za dodjele stipendija u kojima se traži da se priloži domovnica ili rodni list. Od nedavno, domovnicu, rodni list i još neke osobne dokumente moguće je skinuti s interneta i isprintati. Kako bi takav isprintani dokument bio valjan potrebno ga je ovjeriti kod javnog bilježnika u skladu s propisanim zakonima i propisima.

Načela uporabe i prometa elektroničkih isprava:

  • uporaba elektroničkih isprava mora se raditi prema Zakonu o elektroničkoj ispravi
  • prilikom uporabe elektroničke isprave može se upotrebljavati bilo koja informacijsko-komunikacijska tehnologija
  • informacijski sustav koji se primjenjuje u radnjama s elektroničkim ispravama mora imati odgovarajuću zaštitu osobnih podataka
  • svakoj elektroničkoj ispravi mora se moći provjeriti njena valjanost

Uporaba elektroničke isprava smatra se pravovaljanom ako zadovoljava sljedeće uvijete:

  • ako sadrži podatke i primatelju, pošiljatelju i stvaratelju
  • ako sadrži dokumentacijska svojstva kao što su vrijeme otpreme i vrijeme prijema elektroničke isprave
  • ako sadrži unutarnji i vanjski obrazac
  • ako je u bilo kojem trenutku dostupna pravnim i fizičkim osobama koje za to imaju ovlasti

Za kršenje ovog zakona predviđene su rigorozne mjere i novčane kazne od par stotina kuna pa sve do nekoliko desetaka tisuća kuna.

Zakon o sigurnosnim provjerama

Zakona o sigurnosnim provjerama donio je Hrvatski sabor 9. prosinca 2008. godine. Zakonom o sigurnosnim provjerama utvrđuju pojam, vrste i stupnjevi sigurnosne provjere, sigurnosne zapreke te postupak provođenja istih. Sigurnosna provjera je postupak kojim nadležna tijela utvrđuju postupak sigurnosnih zapreka za pristup klasificiranim podacima. Sigurnosnim provjerama nastoji se smanjiti rizik od zlouporabe radnog mjesta i informacija s kojima se raspolaže. Na taj način pokušava se na najboji mogući način zaštitit nacionalna sigurnosti ili sigurnost interesa Republike Hrvatske. Sigurnosne provjere temelje se na Upitniku za sigurnosnu provjeru u kojem se nalazi i suglasnost za provođenje sigurnosne provjere. Navedeni upitnik mora biti ispunjen prema vlastitom mišljenju, a suglasnost koja se nalazi uz njega mora biti potpisana od strane osobe koja je popunjavala Upitnik. Nakon što je taj dio posla uspješno obaljen, sigurnosno-obavještajna agencija kreće s provođenjem sigurnosnih provjera. Upitnikom za sigurnosnu provjeru obuhvatit će se pitanja za koja se smatra da su važna kako bi se utvrdili sigurnosni rizici i zapreke. Uredno popunjeni i vlastoručno potpisani Upitnik označava se stupnjem tajnosti Ograničeno.

Vrste sigurnosne provjere:

  • sigurnosna provjera za pristup klasificiranim podacima
  • temeljna sigurnosna provjera
  • sigurnosna provjera u svrhu zaštite sigurnosti štićenih objekata i osoba

Sigurnosna provjera za pristup klasificiranim podacima:

  • provodi se za fizičke osobe koje iz nekih poslovnih razloga koriste podatke stupnja tajnosti Vrlo tajno, Tajno, Povjerljivo
  • provodi se za pravne osobe koje s državnim tijelima, tijelima jedinica lokalne i regionalne samouprave te pravnim osobama s javnim ovlastima sklapaju klasificirane ugovore stupnjeva tajnosti Vrlo tajno, Tajnom i Povjerljivo

Stupnjevi provođenja sigurnosne provjere su:

  • sigurnosna provjera I. stupnja
  • sigurnosna provjera II. stupnja
  • sigurnosna provjera III. stupnja

Linkovi na upitnike: 1. [2], 2. [3], 3. [4]

U slučaju da neka osoba ima potrebu pristupiti podacima stupnja tajnosti Vrlo tajno, radi se sigurnosna provjera prvog stupnja. Ako pak određena osoba mora pristupiti podacima stupnja tajnosti Tajno, radi se sigurnosna provjera drugog stupnja. Sigurnosna provjera trećeg stupnja radi se u slučaju da neka osoba zatraži pristup podacima stupnja tajnosti Povjerljivo.

Sigurnosna provjera mora se obnoviti nakon svakih pet godina, dok je nadopunu sigurnosne provjere moguće raditi i prije isteka navedenog roka. Razlozi za nadopunu sigurnosne provjere mogu biti: nepotpuno izvješće o sigurnosnoj provjeri ili pojava novih podataka. Pojavu novih podataka, odmah po nastajanju, dužna je prijaviti osoba za koju se radi sigurnosna provjera. Nadopuna sigurnosne provjere radi se na zahtjev državnog tijela ovlaštenog za podnošenje za provođenje sigurnosne provjere.

[36]

Zakon o sigurnosno-obavještajnom sustavu

Zakon o sigurnosno-obavještajnom sustavu donio je Hrvatski sabor na sjednici održanoj 30. lipnja 2006. godine. Zakonom o sigurnosno-obavještajnom sustavu Republike Hrvatske osnivaju se dvije sigurnosno-obavještajne agencije, a to su:

  • Sigurnosno-obavještajna agencija - SOA
  • Vojno sigurnosno-obavještajna agencija - VSOA

Ciljevi osnovanih agencija je sprječavanje radnji pojedinca ili skupina, a za koje se smatra da predstavljaju mnoge potencijalne opasnosti za Republiku Hrvatsku. Također, cilj ovih agencija je i prikupljanje, obrada i analiza podataka koji su značajni za donošenje raznih odluka za ostvarivanje nacionalnih interesa. Nadzor nad poslovanjem agencije ima Hrvatski sabor, Predsjednik i Vlada Republike Hrvatske, Ured Vijeća za nacionalnu sigurnost i Vijeće za građansku nadzor sigurnosno-obavještajnih agencija. Sigurnosno-obavještajne agencije svoje poslove obavljaju u skladu s Ustavom Republike Hrvatske, zakonima i propisima.

Lblazek2.jpg

Slika 5: Sigurnosno-obavještajna agencija

Izvor: https://www.soa.hr/UserFiles/Image/galerija/_SOA-znak.jpg

Tijekom svog djelovanja sigurnosno-obavještajne agencije nastoje prikupiti što kvalitetnije podatke na različite načine i iz različitih izvora. Neki od načina i izvora su: prikupljanje podataka od građana, korištenjem javnih izvora, službeni podaci dobiveni od strane državnih tijela, tijela jednica lokalne i područne samouprave, pravnih osoba i drugih. Prilikom prikupljanja podataka pomoću komunikacije s građanima dužne su se legitimirati osobi s kojom pričaju. Razgovor s građanim može se obaviti i u prostorijama agencije, ali uz njihovu suglasnost. U slučaju da dođe do sumnje da pojedine osobe izvode akcije koje mogu dovesti do obrambene sigurnosti zemlje, VSOA je dužna reagirati i obaviti razgovor s takvim osobama, koje su se dužne odazvati na poziv za razgovor. Dakle, u krugu svog djelovanja zadaci VSOA-e usmjereni su prema pripadnicima Ministarstva obrane i Oružanih snaga, dok je djelokrug SOA-e usmjeren na ostale građane. Prema Zakonu o sigurnosno-obavještajnom sustavu Republike Hrvatske VSOA se definira kao ustrojstvena jedinica Ministarstva obrane za planiranje i provođenje potpore Ministarstvu obrane i Oružanim snagama za izvršenje zadaća obrane opstojnosti, suvereniteta, neovisnosti i teritorijalne cjelovitosti Republike Hrvatske. Prema istom Zakonu, djelovanje SOA-e na području Republike Hrvatske usmjereno je na sprječavanje aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa putem:

  • terorizma i drugih oblika organiziranog nasilja
  • obavještajne djelatnosti stranih obavještajnih službi, organizacija i pojedinaca
  • ekstremističkog organiziranja i djelovanja skupina i pojedinaca
  • ugrožavanja sigurnosti najviših državnih dužnosnika te štićenih objekata i prostora
  • organiziranog i gospodarskog kriminala
  • neovlaštenog ulaska u zaštićene informacijske i komunikacijske sustave državnih tijela
  • odavanja klasificiranih podataka od čelnika i zaposlenika državnih tijela, znastvenih institucija i pravnih osoba s javnim ovlastima
  • drugih aktivnosti usmjerenih na ugrožavanje nacionalne sigurnosti

Lblazek3.jpg

Slika 6: Vojno sigurnosno-obavještajna agencija

Izvor: http://upload.wikimedia.org/wikipedia/commons/8/8f/VSOA_(logo).jpg

Sigurnosno-obavještajne agencije mogu prikupljati podatke korištenjem tajnih suradnika. Isto tako agencije u nekim slučajevima mogu se odlučiti za neku od metoda tajnog prikupljanja podataka. Tajnom prikupljanju podataka pristupa se samo u krajnjim slučajevima, samo dok se traženi podaci ne mogu prikupiti na drugačiji način. Na zahtjev građanina, agencije su dužne obavijestiti ga jesu li poduzimali neke od mjera tajnog prikupljanja podataka i da le se vodi evidencija o njegovim osobnom podacima. Mjere tajnog prikupljanja podataka su:

  • tajni nadzor telekomunikacijskih usluga, djelatnosti i prometa:

a) tajni nadzor sadržaja komunikacija
b) tajni nadzor podataka o telekomunikacijskom prometu
c) tajni nadzor lokacije korisnika
d) tajni nadzor međunarodnih telekomunikacijskih veza

  • tajni nadzor nad poštanskim i drugim pošiljkama
  • tajni nadzor i tehničko snimanje unutrašnjosti objekata, zatvorenih prostora i predmeta
  • tajno praćenje i motrenje uz svjetlosno snimanje osoba u otvorenom prostoru i na javnim mjestima
  • tajno praćenje i motrenje uz zvučno snimanje sadržaja komunikacija osoba u otvorenom prostoru i na javnim mjestima
  • tajni otkup dokumenata i predmeta

U osim članaka koji općenito opisuju rad sigurnosno-obajveštajnih agencija, postoje i članci koji govore o metodama prikupljanja podataka, sigurnosnim provjerama i protuobavještajnoj zaštiti, mjerama prikrivanja vlasništva, načinima izvješčivanja, strategijskom elektroničkom izviđanju za potrebe sigurnosno-obavještajnih agencija, primjeni propisa, uvjeti prijemu u službu i uvjeti izlaska iz službe i drugo.

[35]

--Lblazek 23:22, 19. siječnja 2015. (CET)

Ostali zakoni vezani uz sigurnost informacijskih sustava

Konvencija o kibernetičkom kriminalu i Kazneni zakon Republike Hrvatsken

Hrvatski sabor je donio odluku o proglašenju Zakona 3. srpnja 2002. godine. Države članice Vijeća Europe i ostale države potpisnice ove Konvencije smatraju da je potrebno vođenje zajedničke kaznene politike za zaštitu društva od kibernetičkog kriminala. Ova Konvencija je nužna radi odvraćanja od postupaka usmjerenih protiv tajnosti, cjelovitosti i dostupnosti računalnih sustava, mreža i računalnih podataka, kao i za odvraćanje od njihovih zloporaba, jer utvrđuje kriminalizaciju takvog ponašanja, usvaja ovlaštenja dovoljna za učinkovitu borbu protiv takvih kaznenih djela, olakšavajući time otkrivanje, istraživanje i kazneni progon tih kaznenih djela, kako na domaćoj, tako i na međunarodnoj razini, te osiguravajući brzu i pouzdanu međunarodnu suradnju. [12]

Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa i sustava

  • Tko unatoč zaštitnim mjerama neovlašteno pristupi računalnom sustavu, kaznit će se novčanom kaznom ili kaznom zatvora do jedne godine. Ukoliko se sustav ostavi potpuno otvorenim i nezaštićenim, npr. bežićna računalna mreža na koju je moguće spajanje bez ikakve provjere, neće se ispuniti elementi za postojanje kaznenog djela.
  • Tko s ciljem onemogući ili oteža rad ili korištenje računalnih podataka ili programa, računalnog sustava ili računalnu komunikaciju, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine.
  • Tko neovlašteno ošteti, izmijeni, izbriše, uništi ili na drugi način učini neuporabljivim ili nedostupnim tuđe računalne podatke ili programe.
  • Tko presretne ili snimi nejavni prijenos računalnih podatka koji mu nisu namijenjeni prema računalnom sustavu, iz njega ili unutar njega, uključujući i elektromagnetske emisije računalnog sustava koji prenosi te podatke, ili tko omogući nepozvanoj osobi da se upozna s takvim podacima (neovlaštena snimanja i prisluškivanja)
  • Tko neovlašteno izrađuje, nabavlja, uvozi, prodaje, posjeduje ili čini drugome dostupne posebne naprave, sredstva, računalne podatke ili programe stvorene ili prilagođene za činjenje kaznenog djela, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine

Primjer: Nakon kriminalističkog istraživanja nad 20-godišnjakom iz Knina osumnjičenom za kazneno djelo povrede tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava i kazneno djelo računalne prijevare na štetu više osoba, vlasnika web stranica i email adresa. U razdoblju od 1.1.2010. do 17.10.2010. godine osumljičeni je pomoću osobnog i prijenosnog računala koristeći se Internet mrežom u više navrata skenirao više web stranica s ciljem utvrđivanja njihove ranjivosti (dolazi do korisničkih podataka pasworda i username, administratora i korisnika stranica), koristeći razne programe pohranjene na osobnom računalu, iako je bio svjestan da su te web stranice zaštićene i probijanjem njihove zaštite čini nezakonitu radnju. Tako pribavljene podatke je preuzimao i po preuzimanju pohranjivao u razne datoteke na osobnom i prijenosnom računalu (veliki broj email adresa raznih korisnika iz cijelog svijeta, koji koriste uslugu gmail.com., hotmail.com i yahoo.com). Protiv osumnjičenog je podnijeta kaznena prijava Općinskom državnom odvjetništvu za mladež u Šibeniku. [14]

Računalno krivotvorenje

  • Tko neovlašteno izradi, unese, izmijeni, izbriše ili učini neuporabljivim računalne podatke ili programe koji imaju vrijednost za pravne odnose, u namjeri da se oni uporabe kao pravi ili sam uporabi takve podatke ili programe, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine

Primjer: Mladića se sumnjiči da je 9.10.2012. ostvario neovlašteni pristup i uvid u sadržaj i usluge koje nudi internetska stranica, vlasništvo tvrtke sa sjedištem u Zagrebu. U vremenu od 9.10.2012. godine do 9.2.2013. godine, internet stranicu je nudio putem svog profila, uz novčanu naknadu, tako da je neovlašteni pristup, uvid u sadržaj i usluge navedenoj internet stranici ostvarilo nekoliko zainteresiranih osoba. Na takav način vlasnik je oštećen za nekoliko tisuća kuna. Policija protiv osumnjičenika podnosi posebno izvješće kao dopunu kaznenim prijavama Općinskom državnom odvjetništvu. [15]

Računalna prijevara

  • Tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, koristi, izmijeni, izbriše ili na drugi način učini neuporabljivim računalne podatke ili programe, ili onemogući ili oteža rad ili korištenje računalnog sustava ili programa i na taj način prouzroči štetu drugome, kaznit će se kaznom zatvora od šest mjeseci do pet godina (promjene stanja na bankovnim računima, računalne prijevare s kreditnim karticama, plaćanje lažnim brojevima kreditnih kartica)

Primjer: USKOK podnio optužnicu protiv 17 osoba zbog računalne prijevare na automatima za igre na sreću. U razdoblju od listopada 2010. godine do kolovoza 2011. godine osumljićeni su se domogli najmanje 1,814.540,40 kuna iz klubova u kojima su kockali na automatima u koje su prethodno ubacili računalni program koji su namjestili tako da im osigurava siguran dobitak. “Igrači“ su kroz tijek igre vršili dva stupnja aktivacije virusa. U prvom stupnju su unosili određeni slijed karata kroz igru dupliranja uz dodjeljivanje unaprijed dogovorenih šifri prikazanim kartama na ekranu koje su potom dojavljivali telefonom. Potom su povratno dobivali kalkulaciju za unos sljedećih karata kroz igru dupliranja, uz dojavu dobivenog rezultata preko mobitela, te bi korištenjem prethodno dogovorene šifre potvrdili drugi stupanj aktivacije "računalnog virusa" čime je manipulacija ugrađenog "računalnog virusa" postala aktivna u idućih 30 igara dupliranja. [16]

Dječja pornografija na računalnom sustavu ili mreži

  • Tko pomoću računalnog sustava ili mreže proizvodi, nudi, distribuira, pribavlja za sebe ili drugoga, ili tko u računalnom sustavu ili na medijima za pohranu računalnih podataka posjeduje pornografske sadržaje koji prikazuju djecu ili maloljetnike u seksualnom eksplicitnom ponašanju ili koji su fokusirani na njihove spolne organe, kaznit će se kaznom zatvora od jedne do deset godina
  • Tko djetetu, posredstvom računalnog sustava, mreže ili medija za pohranu računalnih podataka učini pristupačnim slike, audiovizualne sadržaje ili druge predmete pornografskog sadržaja, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine

[13]

Primjer: Istraga je obuhvatila tajni nadzor nad 269 osoba, a dokazi su prikupljeni protiv njih 112, priopćio je MUP. U akciji su sudjelovale 22 zemlje, a bila je usmjerena na pronalaženje najekstremnijih oblika materijala seksualnog zlostavljanja djece. Iako se materijal zaplijenjen prilikom pretraživanja tek treba vještačiti kako bi se uhićeni mogli procesuirati, otkriveni su nepoznati internetski kanali kojima su se koristili seksualni prijestupnici. [17]

Zakon o računovodstvu

Zakonom o računovodstvu se uređuje računovodstvo poduzetnika, razvrstavanje poduzetnika, knjigovodstvene isprave i poslovne knjige, popis imovine i obveza, primjena standarda financijskog izvještavanja i tijelo za donošenje standarda financijskog izvještavanja, godišnji financijski izvještaji i konsolidacija godišnjih financijskih izvještaja, revizija godišnjih financijskih izvještaja, sadržaj godišnjeg izvješća, javna objava godišnjih financijskih izvještaja, Registar godišnjih financijskih izvještaja, te obavljanje nadzora. [1]

U ovom zakonu poduzetnici se razvrstavaju na male, srednje i velike.

  • Mali poduzetnici su oni koji imaju prihod manji od 65.000.000,00 kuna, ukupnu aktivu manju od 32.500.000,00 kuna, prosječan broj radnika tijekom poslovne godine manji od 50.
  • Srednji poduzetnici su oni koji prelaze dva uvjeta iz prve točke, ali ne prelaze dva od sljedeća uvjeta: ukupna aktiva 130.000.000,00 kuna, prihod 260.000.000,00 kuna, prosječan broj radnika tijekom poslovne godine 250.
  • Veliki poduzetnici su oni koji prelaze dva uvjeta iz druge točke. Veliki poduzetnici su još: banke, štedionice, institucije za elektronički novac, društva za osiguranje, leasing društva

Poduzetnik je dužan prikupljati i sastavljati knjigovodstvene isprave, voditi poslovne knjige, sastavljati financijske izvještaje. Knjigovodstvena isprava je pisani dokument ili elektronički zapis o nastalom poslovnom događaju, mora nedvojbeno i istinito sadržavati sve podatke o poslovnom događaju, poduzetnik je dužan prije unosa podataka iz knjigovodstvene isprave u poslovne knjige, provjeriti ispravnost i potpunost knjigovodstvene isprave. Čuvanje knjigovodstvenih isprava: 1. isplatne liste, analitička evidencija o plaćama za koje se plaćaju obvezni doprinosi – trajno
2. isprave na temelju kojih su podaci uneseni u dnevnik i glavnu knjigu – najmanje jedanaest godina
3. isprave na temelju kojih su podaci uneseni u pomoćne knjige – najmanje sedam godina.

Poslovne knjige čine dnevnik, glavna knjiga i pomoćne knjige, vode se po načelu sustava dvojnog knjigovodstva. Dnevnik poslovna knjiga u koju se unose knjigovodstvene promjene slijedom vremenskog nastanka. Glavna knjiga je sustavna knjigovodstvena evidencija promjena nastalih na financijskom položaju i uspješnosti poslovanja. Pomoćne knjige se u pravilu vode zasebno. Pomoćne knjige otvaraju se donosom stanja iz poslovnih knjiga zaključenih na kraju prethodne poslovne godine.

U poslovne knjige unose se podaci na temelju knjigovodstvenih isprava. Otvaraju se početkom poslovne godine na temelju bilance sastavljene na kraju prethodne poslovne godine ili na temelju popisa imovine i obveza kod novoosnovanih poduzetnika ili na temelju knjigovodstvene isprave. Čuvanje poslovnih knjiga: 1. dnevnik i glavna knjiga – najmanje jedanaest godina
2. pomoćne knjige – najmanje sedam godina

Financijske izvještaje čine:

  • bilanca
  • račun dobiti i gubitka
  • izvještaj o novčanom tijeku
  • izvještaj o promjenama kapitala
  • bilješke uz financijske izvještaje

Godišnji financijski izvještaji moraju pružiti istinit i objektivan prikaz financijskog položaja i uspješnosti poslovanja poduzetnika, za njih je odgovorna ovlaštena osoba za zastupanje poduzetnika. Čuvanje godišnjih izvještaja je trajno u izvorniku.

Kaznene odredbe 1. Novčanom kaznom u iznosu od 20.000,00 do 100.000,00 kuna kaznit će se osoba ovlaštena za zastupanje poduzetnika za kazneno djelo netočnog prikazivanja imovinskog stanja, financijskog položaja i uspješnosti poslovanja poduzetnika u godišnjim financijskim izvještajima s namjerom da stekne imovinsku korist za svoj ili tuđi račun ili da nekomu nanese štetu.
2. Za kazneno djelo iz točke 1. kaznit će se poduzetnik novčanom kaznom u iznosu od 50.000,00 do 500.000,00 kuna.
3. Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 kuna kaznit će se poduzetnik u čijim poslovnim knjigama poslovni događaji budu utemeljeni na nevjerodostojnoj dokumentaciji.

Prekršajne odredbe Novčanom kaznom u iznosu od 10.000,00 kuna do 100.000,00 kuna kaznit će se za prekršaj poduzetnik ako: 1. ne vodi poslovne knjige
2. ne sastavi knjigovodstvenu ispravu
4. ne provjerava knjigovodstvene isprave prije unosa u poslovne knjige
5. ne čuva knjigovodstvene isprave u rokovima i na način sukladno odredbama ovoga Zakona
6. ne vodi poslovne knjige sukladno odredbama ovoga Zakona
7. ne zaštiti poslovne knjige koje se vode na elektroničkom mediju
8. ne sastavi godišnje financijske izvještaje, ne čuva godišnje financijske izvještaje u rokovima
[1]

Zakon o arhivskom gradivu i arhivima

Ovim se Zakonom uređuju: [2]

  • zaštita i uvjeti korištenja
  • čuvanje, uporaba i obrada arhivskoga gradiva
  • javna arhivska služba
  • nadležnosti i zadaće arhiva

Arhivsko gradivo su zapisi ili dokumenti koji su nastali djelovanjem pravnih ili fizičkih osoba u obavljanju njihove djelatnosti, a od trajnog su značenja za kulturu, povijest i druge znanosti, bez obzira na mjesto i vrijeme njihova nastanka, neovisno o obliku i tvarnom nosaču na kojem su sačuvani. Zapisi ili dokumenti poglavito su spisi, isprave, pomoćne uredske i poslovne knjige, kartoteke, karte, nacrti, crteži, plakati, tiskovnice, slikopisi, pokretne slike (filmovi i videozapisi), zvučni zapisi, mikrooblici, strojnočitljivi zapisi, datoteke, uključujući i programe i pomagala za njihovo korištenje. Arhivi su ustanove za čuvanje, zaštitu, obradu i korištenje arhivskoga gradiva koje mogu biti javne i privatne. [2]

Arhisvsko gradivo možemo podijeliti na javno arhivsko i registraturno gradivo i privatno arhivsko gradivo. Javnim arhivskim ili registraturnim gradivom smatra se gradivo nastalo djelovanjem i radom tijela državne vlasti, tijela jedinica lokalne samouprave i uprave, javnih ustanova i javnih poduzeća, trgovačkih društava koja su nastala iz bivših javnih poduzeća, javnih bilježnika i drugih osoba koje obavljaju javnu službu ili imaju javne ovlasti (dalje: stvaratelji javnoga arhivskog i registraturnog gradiva).

Neke od obveza javnog arhivskog i registraturnog gradiva su:

  • savjesno ga čuvati u sređenom stanju i osiguravati od oštećenja do predaje nadležnom arhivu
  • dostavljati na zahtjev nadležnoga državnog arhiva popis gradiva i javljati sve promjene u svezi s njim
  • omogućiti ovlaštenim djelatnicima nadležnoga državnog arhiva obavljanje stručnog nadzora nad čuvanjem njihova gradiva

Javno arhivsko gradivo u arhivima daje se na korištenje u službene svrhe, za znanstveno istraživanje i u publicističke svrhe, za potrebe nastave, za izložbe i objavljivanje, radi ostvarenja ili zaštite osobnih prava i u druge opravdane svrhe. Privatnim arhivskim gradivom smatra se arhivsko gradivo nastalo djelovanjem privatnih pravnih i fizičkih osoba, ukoliko nije nastalo u obavljanju javnih ovlasti ili u obavljanju javne službe i ako nije u državnom vlasništvu. Hrvatski državni arhiv utvrđuje popis imatelja arhivskoga gradiva u privatnom vlasništvu za koje po svojoj stručnoj ocjeni utvrdi da je od interesa za državu. Neke od oveza privatnog arhivskog gradiva su:

  • obavijestiti nadležni državni arhiv o posjedovanju gradiva
  • čuvati gradivo i poduzimati mjere potrebne za njegovo sigurno čuvanje i zaštitu
  • srediti gradivo i izraditi popis
  • dopustiti ovlaštenoj osobi nadležnoga državnog arhiva da pregleda gradivo i po potrebi provede sigurnosno snimanje

Hrvatski državni arhiv, kao središnji i matični državni arhiv, obavlja arhivsku službu u odnosu na arhivsko i registraturno gradivo državnih tijela, državnih i javnih ustanova i poduzeća, te pravnih osoba, obitelji i pojedinaca, čija se djelatnost prostirala ili se prostire na čitavom ili većem dijelu Republike Hrvatske, odnosno koja ima značenje za Republiku Hrvatsku. Arhivi jedinica lokalne samouprave i uprave čuvaju, zaštićuju, obrađuju i koriste javno arhivsko gradivo tijela lokalne samouprave i uprave i njihovih javnih službi. Kaznene odredbe, ako netko uništi, prikriva ili učini neupotrebljivim arhivsko gradivo, ili ga iznese u inozemstvo bez prethodnog odobrenja nadležnog državnog tijela, kaznit će se zatvorom do pet godina. Postoje i novčane kazne za razne prekršaje ovog zakona u iznosu od 3.000,00 do 20.000,00 kuna. [2]

Zakon o telekomunikacijama

Zakonom o telekomunikacijama se uređuje područje radijskih komunikacija i telekomunikacija, način i uvjeti obavljanja telekomunikacijskih usluga i djelatnosti, prava i obveze davatelja i korisnika telekomunikacijskih usluga, izgradnja, održavanje i uporaba telekomunikacijske infrastrukture i opreme, radijske opreme i telekomunikacijske terminalne opreme, upravljanje radiofrekvencijskim spektrom, adresnim i brojevnim prostorom u Republici Hrvatskoj, elektromagnetska kompatibilnost, zaštita podataka u telekomunikacijama te obavljanje nadzora i kontrole u telekomunikacijama. [3] Od interesa za Republiku Hrvatsku su izgradnja, održavanje, razvoj i uporaba telekomunikacijske infrastrukture i opreme, upravljanje i uporaba radiofrekvencijskog spektra, adresnog i brojevnog prostora kao prirodno ograničenog općeg dobra, te obavljanje javnih telekomunikacijskih usluga i djelatnosti.

Republika Hrvatska osniva Hrvatsku agenciju za telekomunikacije koja je nacionalna regulatorna agencija (HAKOM) za obavljanje regulatornih i drugih poslova u okviru djelokruga i nadležnosti određenih ovim Zakonom. Načela i ciljevi regulacije telekomunuikacijskog tržišta su:

  • skrbiti o interesima korisnika telekomunikacijskih usluga, uključujući korisnike s invaliditetom i socijalno ugrožene korisnike, i štititi tajnost telekomunikacijskih priopćenja te osobnih podataka i privatnosti korisnika telekomunikacijskih usluga
  • osigurati visoku razinu zaštite korisnika telekomunikacijskih usluga, osobito u postupcima rješavanja sporova između korisnika i davatelja usluga
  • promicati dostupnost transparentnih obavijesti o cijenama i uvjetima uporabe javnih telekomunikacijskih usluga
  • osigurati i promicati djelotvorno i održivo tržišno natjecanje na telekomunikacijskom tržištu, s jednakim moguć¬nosti¬ma za sve sudionike na tržištu, te poticati djelotvornost ulaganja u telekomunikacijsku infrastrukturu
  • poticati pristup tržištu novim davateljima usluga te uvođenje novih, inovativnih telekomunikacijskih usluga i tehnologija
  • osigurati poštovanje načela otvorenog pristupa telekomunikacijskoj mreži i infrastrukturi
  • onemogućiti zlouporabe nadmoćnog položaja na telekomunikacijskom tržištu
  • osigurati obavljanje osnovnih (univerzalnih) telekomunikacijskih usluga određene kakvoće na cijelom području Republike Hrvatske, uz pristupačnu cijenu
  • osigurati djelotvorno upravljanje i nesmetanu uporabu radiofrekvencijskog spektra
  • osigurati djelotvorno upravljanje i uporabu adresnog i brojevnog prostora
  • promicati korištenje telekomunikacijskih usluga u državnim i javnim službama
  • zaštititi potrebe javnog reda, obrane i nacionalne sigurnosti

[3]

Zaštita prava korisnika usluga Davatelji javnih govornih usluga moraju osigurati ravnoprav¬nu dostupnost i pristupačnost svojih usluga u telekomunikacijskoj mreži. U pretplatničkim odnosima davatelji javnih telekomunikacijskih usluga moraju sklopiti pisani ugovor s pretplatnikom o priključenju na svoju telekomunikacijsku mrežu i pružanju javnih telekomunikacijskih usluga. Pisani ugovor mora osobito sadržavati odredbe utvrđene posebnim zakonom kojim se uređuje zaštita potrošača. Pisani ugovor za pružanje javnih govornih usluga u telekomunikacijskoj mreži, koji je sklopljen na vrijeme dulje od godine dana, mora sadržavati i odredbu o pravu pretplatnika na otkazivanje ugovora uz otkazni rok u trajanju od najviše šest mjeseci. Davatelji javnih telekomunikacijskih usluga kod uvođenja novih usluga obavezni su korisnicima dati njihov podroban opis, te im omogućiti odabir korištenja i u slučaju ako su navedene usluge besplatne. Davatelji javnih telekomunikacijskih usluga moraju voditi podroban (detaljan) ispis računa, automatski bilježiti podatke o obavljenim telekomunikacijskim uslugama za svoje korisnike usluga u svrhu obračuna troškova obavljanja tih usluga, te moraju omogućiti korisnicima usluga, bez naknade, uvid i kontrolu podataka o učinjenim troškovima i podroban ispis računa za obavljene telekomunikacijske usluge. Ispis računa mora sadržavati sve potrebne podatke koji korisnicima usluga omogućuju jednostavnu provjeru i kontrolu troškova učinjenih obavljanjem tih usluga. Postupak u slučaju nepodmirivanja dugovanja za telekomunikacijske usluge, davatelji usluga imaju pravo privremeno isključiti pretplatničku terminalnu opremu iz telekomunikacijske mreže ako pretplatnik nije podmirio dugovanje za obavljene telekomunikacijske usluge, uz uvjet da je pretplatniku prethodno dostavljena opomena s naznakom privremenog isključenja u slučaju nepodmirivanja dugovanja u primjereno određenom roku.

Tajnost radijskih poruka, vlasniku, odnosno korisniku radijske postaje zabranjeno je:

  • neovlašteno doznati, upotrebljavati, objaviti ili proslijediti drugima sadržaj radijske poruke koja nije namijenjena javnosti
  • prenositi u nekodiranom obliku radijske poruke koje imaju obilježja tajnosti
  • prenositi lažne i pogrješne signale i priopćenja, osobito ako se odnose na opasnost, hitnost, sigurnost ili identifikaciju
  • prenositi signale i priopćenja koja se ne odnose na njegovu djelatnost
  • primati signale i priopćenja koja nisu namijenjena njemu i nisu za opći prijam

Zaštita podataka Davatelj javnih telekomunikacijskih usluga mora poduzeti odgovarajuće tehničke i organizacijske mjere kako bi se zaštitila sigurnost njegovih telekomunikacijskih usluga, a zajedno s operatorom poduzima potrebne mjere radi zaštite sigurnosti telekomunikacijske mreže. U slučaju posebne opasnosti za sigurnost telekomunikacijske mreže, davatelj javnih telekomunikacijskih usluga mora obavijestiti korisnike svojih usluga o postojanju te opasnosti. U svrhu osiguravanja tajnosti telekomunikacijskih priopćenja u javnoj telekomunikacijskoj mreži i u obavljanju javnih telekomunikacijskih usluga te pripadajućih podataka o telekomunikacijskom prometu, zabranjeno je slušanje, prisluškivanje, pohranjivanje i svaki oblik presretanja ili nadzora nad telekomunikacijskim priopćenjima i pripadajućim podacima o telekomunikacijskom prometu. Pristup obradi podataka o telekomunikacijskom prometu dopušten je isključivo osobama operatora i davatelja javnih telekomunikacijskih usluga koje rade na poslovima obračuna troškova, upravljanja telekomunikacijskim prometom, obrade pritužbi korisnika usluga, otkrivanja prijevara u telekomunikacijama, promidžbi javnih telekomunikacijskih usluga i usluga s dodanom vrijednosti. Operatori su obvezni zadržavati Neželjena telekomunikacijska priopćenja (e-mail), uporaba elektroničke pošte u svrhu izravne promidžbe dopuštena je samo uz prethodno pribavljenu privolu korisnika usluga. trgovac se može koristiti podacima o elektroničkim adresama, dobivenim od svojih potrošača u svrhu prodaje proizvoda i usluga, za promidžbu samo vlastitih proizvoda ili usluga, uz uvjet da ti potrošači imaju jasnu mogućnost besplatnog i jednostavnog prigovora na takvu uporabu podataka o elektroničkim adresama prigodom njihova prikupljanja i prigodom primitka svake poruke, u slučaju da potrošač nije unaprijed odbio takvu uporabu podataka. Nije dopušteno slanje elektroničke pošte u kojoj se pogrešno prikazuje ili prikriva identitet ili bez ispravne elektroničke adrese na koju primatelj može, poslati zahtjev za onemogućavanje takvih priopćenja. [3]

Česti su primjeri kršenja navedenog članka putem slanja SMS poruka čiji je sadržaj neprimjern djeci i maloljetnicima, ili je uznemirujući. Ako Vam neko šalje SMS ili MMS poruke sa takvim sadržajom ili reklame bez vašeg pristanka, pošaljite prijavu na adresu elektroničke pošte nezeljeni.sms@hakom.hr . U prijavi navedite broj s kojeg ste primili poruku, datum i vrijeme primitka poruke, Vaš broj, Vaše ime i prezime te sadržaj poruke iz kojeg je vidljivo da se radi o reklamiranju. Ako imate mogućnost, ove informacije pošaljite kao sliku zaslona telefona koji prikazuje primljenu poruku te je priložite svojoj prijavi. [5]

Nsikavica1.jpg

Slika 7: Primjer poruke sa neprimjerenim sadržajom


Nsikavica2.jpg

Slika 8: Primjer poruke sa neprimjerenim sadržajom


Uredba o obvezama iz područja nacionalne sigurnosti RH za pravne i fizičke osobe u telekomunikacijama Prema uredbi se obveze za pravne i fizičke osobe, koje raspolažu javnom telekomunikacijskom mrežom i pružaju javne telekomunikacijske usluge i usluge pristupa, koje se odnose na funkciju tajnog nadzora telekomunikacija u Republici Hrvatskoj. Sigurnosno-obavještajna agencija (SOA) i Vojna sigurnosno-obavještajna agencija (VSOA) u suradnji s redarstvenim vlastima sukladno Zakonu o sigurnosno-obavještajnom sustavu Republike Hrvatske i Zakonu o kaznenom postupku, donose pravila za razvoj odgovarajuće tehničke opreme i programske podršle, pitanja tehničkih sučelja i primjenu mjera tajnog nadzora telekomunikacija. Tajni nadzor sadržaja komunikacije obuhvaća:

  • sadržaj komunikacije mora obuhvaćati sve oblike komunikacije (govorne, tekstualne, slikovne, podatkovne, itd.) koja se odvija između subjekta (predmeta) tajnog nadzora i drugih korisnika telekomunikacijskih usluga
  • podatke o nadziranoj komunikaciji (pokušaj uspostave poziva, uspostava poziva, prekid komunikacije, promjene lokacije nadziranog uređaja)

Podaci putem propisanog tehničkog sučelja moraju biti raspoloživi Operativno-tehničkom centru za razdoblje od posljednjih 12 mjeseci. Pravne i fizičke osobe moraju uporabom odgovarajućeg tehničkog sučelja omogućiti Operativno-tehničkom centru pristup podacima o zemljopisnoj, fizičkoj ili logičkoj lokaciji pojedinačnog nadziranog sredstva za komuniciranje u slučaju postojanja telekomunikacijske aktivnosti, za razdoblje od posljednih 12 mjeseci. Novi propisi u elektroničkim komunikacijama. Od 1. siječnja 2015. godine na snagu stupaju odredbe Pravilnika o minimalnoj brzini pristupa internetu u okviru univerzalne usluge. Najmanja brzina se time povećava sa sadašnjih 144 kbit/s na 1 Mbit/s, a postojeći korisnici univerzalne usluge, ukoliko žele povećanje brzine sa 144 kbit/s na 1 Mbit/s, trebaju zatražiti od Hrvatskog Telekoma prelazak na novi tarifni paket univerzalne usluge s većom brzinom. Cijena univerzalne usluge prethodno je odobrena u postupku pred HAKOM-om. [6]

Zakon o elektroničkom potpisu

Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim postupcima, poslovnim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa. [7] Elektronički potpis koristi se za:

  • potvrdu identiteta pošiljatelja elektronički potpisanog dokumenta
  • provjeru integriteta sadržaja dokumenta (tj. provjeravanje da originalni sadržaj dokumenta nije bio izmijenjen prilikom prijenosa)

U zakonu se spominju pojmovi elektronički potpis i napredan elektronički potpis. Elektronički potpis je skup podataka u elektroničkom obliku koji služe za identifikaciju potpisnika i potvrdu vjerodostojnosti potpisanoga elektroničkog zapisa. Njegovim korištenjem osigurava se: autentičnost (osigurava da je pošiljatelj stvarno onaj koji tvrdi da on jest) i integritet (jamči cjelovitost i nepromijenjenost poruke). Napredan elektronički potpis ima istu pravnu snagu i zamjenjuje vlastoručni potpis, to je potpis koji:

  • je povezan isključivo s potpisnikom
  • nedvojbeno identificira potpisnika
  • nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i koja su isključivo pod nadzorom potpisnika
  • sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u bilo koju izmje­nu izvornih podataka [7]

Njegovim korištenjem uz autentičnost i integritet osigurava se i neporecivost dokumenta (da pošiljatelj ne može poreći potpisanu transakciju). Za potvrdu identiteta potpisnika koriste se certifikati. Certifikat označava potvrdu u elektroničkom obliku koja povezuje podatke za verificiranje elektroničkog potpisa (javni ključ) s nekom osobom i potvrđuje identitet te osobe. Napredni elektronički potpis temelji se na kvalificiranom certifikatu. Kvalificirani certifikat je, elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni elektronički potpis potpisnika tj. nedvojbeno potvrđuje identitet potpisnika. [8]

Nsikavica3.jpg

Slika 9: Prikaz digitalno potpisane poruke elektroničke pošte


Kako bi koristili e-potpis, potreban je certifikat, sredstvo za izradu elektroničkog potpisa, te aplikativno rješenje koje će omogućiti implementaciju potpisa na dokumente.. U Republici Hrvatskoj je za sada jedini ovlašteni izdavatelj certifikata Financijska agencija (FINA) koja izdaje certifikate pravnim i fizičkim.

Nsikavica4.jpg

Slika 10: Prikaz uređaja za elektronički potpis


Fina izdaje sljedeće certifikate:

  • Autentifikacijski (normalizirani) certifikat - koristi se za autentifikaciju, odnosno enkripciju (zaštitu tajnosti podataka), te za njihovu kombinaciju. Taj certifikat i uporaba ključa od strana uključenih u e-poslovanje osigurava autentičnost, cjelovitost, izvornost i tajnost. Može se izdati na FINA e-kartici ili USB tokenu ili kao certifikat za aplikacije koji se instalira na serveru na kojemu se nalazi aplikacija.
  • Potpisni (kvalificirani) certifikat koristi se za elektroničko potpisivanje dokumenata ili transakcija naprednim elektroničkim potpisom u skladu sa Zakonom o elektroničkom potpisu. Jamči autentičnost, cjelovitost i izvornost te priskrbljuje i neporecivost zamjenjujući u cijelosti vlastoručni potpis ili vlastoručni potpis i otisak pečata. Obzirom da je vezan za osobu, izdaje se na FINA e-kartici ili USB tokenu. [9]

Fina je razvila nekoliko aplikativnih rješenja koja vam omogućuju da elektronički potpišete dokumente. To su: Aplikacija Web e-Potpis, ActivX NEP komponenta, Samostojeća aplikacija za e-Potpis. Kaznene odredbe, novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj davatelj usluga certificiranja koji:

  • ne provodi odgovarajuće zaštitne mjere kojima se onemogućuje neovlašteno pohra­njiva­nje i kopira­nje podatka za izradu elektroničkog potpisa
  • izdaje kvalificirani certifikat koji ne sadrži sve potrebne podatke ili sadrži podatke koji nisu predviđeni
  • ne obavijesti potpisnika kojem izdaje certifikat o svim bitnim uvjetima uporabe izdanog certifikata

Općenite regulative i smjernice informacijske sigurnosti

Nacionalni program informacijske sigurnosti

Nacionalni program informacijske sigurnosti u Republici Hrvatskoj definira ciljeve informacijske sigurnosti na razini Republike Hrvatske, nadležnosti i poslove pojedinih institucija u području informacijske sigurnosti, kao i potrebnu međusobnu koordinaciju svih čimbenika informacijske sigurnosti. Program sadrži četverogodšnji ciklus postepenog i sistematičnog uvođenja mjera informacijske sigurnosti u različite segmente društva, a u provedbenom dijelu predviđa potrebne faze i mehanizme praćenja predviđenih aktivnosti i projekata.

Nacionalni program informacijske sigurnosti u Republici Hrvatskoj bavi se prvenstveno organizacijskim i upravljačkim aspektima uvođenja sustava informacijske sigurnosti u Republici Hrvatskoj, polazeći od preduvjeta potrebnih za razvoj zakona, propisa, metoda, i tehničkih sustava u području informacijske sigurnosti. Uvođenje informacijske sigurnosti u Republici Hrvatskoj je osnovna zadaća ovog programa. Neki od važnijih dijelova ovog programa su:

  • Sigurnosne provjere osoblja
  • Fizička sigurnost
  • Sigurnost podataka
  • Sigurnost informacijskih sustava
  • Sigurnost pristupa trećih strana i vanjske suradnje

Strateška zadaća ovog programa je postupno širenje procesa informacijske sigurnosti na državu u cjelini, uvođenjem odgovarajućih minimalnih sigurnosnih kriterija u državni i javni sektor te razvojem kulture naših najširih slojeva stanovništva.

Sigurnosne provjere osoblja

Sigurnosna provjera osoblja, osim primarnih mjera kojima se procjenjuje mogućnost dodjele ovlaštenja podrazumijeva i aktivnu brigu oko usmjeravanja, edukacije i kontrole ispravnog postupanja svakog pojedinca. Sigurnosna provjera osoblja ponajprije obuhvaća procjenu da li se za nekog pojedinca u pogledu lojalnosti, povjerljivosti, pouzdanosti i vjerodostojnosti može dati ovlaštenje za pristup povjerljivim informacijama, a da to ne predstavlja neprihvatljiv rizik za sigurnost informacije. Procjena proizlazi kao rezultat obavljene sigurnosne provjere (provjere pouzdanosti) za one osobe čije zapošljavanje ili napredovanje podrazumijeva pristup povjerljivim informacijama. Sigurnosnu provjeru je potrebno provesti i za ugovorne strane i za osobe koje su samo privremeno u doticaju s povjerljivim informacijama. Sigurnosne provjere provode se u opsegu propisanom za dostupnu razinu povjerljivosti te uz znanje i pristanak provjeravane osobe.

Fizička sigurnost

Fizička sigurnost obuhvaća primjenu fizičkih i tehničkih mjera zaštite na mjestima, u zgradama i prostorima koji zahtijevaju zaštitu od gubitaka ili kompromitacije povjerljivih informacija. Uloga ovih mjera je sprječavanje nedopuštenog i nasilnog ulaska neovlaštenih osoba, te odvraćanje, otkrivanje i reagiranje na djelovanje neovlaštenih osoba. Mjere fizičke sigurnosti obuhvaćaju i zaštitu informacija (infrastrukture) uslijed prirodnih pojava (požara, poplave, potresa, oluje), ali i brigu oko osiguranja adekvatnih uvjeta (temperatura, vlaga, neprekidno napajanje, zračenje) i odabira pozicije prostorija.

Sigurnost podataka

Sigurnost podataka se ostvaruje na temelju zakona sustavnom primjenom propisanih sigurnosnih i zaštitnih mjera i postupaka za ovlašteni način prikupljanja, obrade, korištenja te za čuvanje, sprječavanje i oporavak od gubitka, ili neovlaštenog objavljivanja podataka.

Najvažniji korak u ostvarenju sigurnosti je klasifikacija ili razradba podatakas obzirom na stupanj rizika i potrebne mjere zaštite sigurnosti podataka. Klasifikacija mora biti bar onog stupnja kojeg je najviši povjerljivi dio. Klasifikacija nije zaštita podataka, ali se na njoj zaštita temelji. U poslovnom procesu sigurnost podataka podrazumijeva postojanje sigurnosnih procedura za prijem, rukovanje, pohranjivanje, uništavanje, distribuciju, umnožavanje, prepisivanje, prevođenje, izdavanje, uvid i objavljivanje podataka. Sigurnosne procedure uključuju i postojanje evidencijskog sustava o kontroli pristupa i izvršenim radnjama, te kretanju i mjestu podataka.

Sigurnost informacijskih sustava – INFOSEC

Sigurnost informacijskih sustava (INFOSEC) podrazumijeva sigusnot podataka na elektroničkim medijima i računalima, sigurnost podataka u sustavima za prijenos podataka (COMSEC) te sigurnost informacijske infrastrukture u posebnimkategorijama prostora od različitih vrsta pasivnog ili aktivnog prisluškivanja TECSEC). Sigurnost informacijskih sustava je aktivan i dinamičan proces tijekom životnog ciklusa sustava te se sastoji od nekoliko faza: 1. Planiranje
2. Razvoj
3. Provedba
4. Operativnost
5. Rast
6. Rashodovanje
7. Uništavanje (prema potrebi)

Proces upravljanja rizikom koji se koristi za procjenu, nadgledanje, ukidanje, izbjegavanje, prijenos ili prihvaćanje rizika je definicija koja veoma vjerodostojno opisuje sigurnost informacijskog sustava. Općenito se može reći da sigurnost informacijskih sustava obuhvaća sve što i informacijska sigurnost u širem smislu, samo primijenjeno u užim tehnološkim okvirima.

Sigurnost pristupa trećih strana i vanjske suradnje

Pristup trećih strana podrazumijeva nabavu, razvoj i održavanje opreme u okviru čega postoji razmjena određenih podataka o organizaciji i tehnologiji između državnog tijela i ponuđača. Odgovornost za obradu podataka ostaje u nadležnosti državnog tijela. Vanjska suradnja je dublji oblik suradnje u kojoj vanjski poslovni subjekt ima odgovornost za obradu podataka određenog državnog tijela. U okviru svakog pristupa trećih strana, a naročito u okviru vanjske suradnje, potrebno je identificirati rizik. Procjena rizika obuhvaća elemente kao što su način pregovaranja i odobravanja povjerljivih ugovora, način pristupa vanjskog osoblja opremi i prostoru, utvrđivanje razloga i potrebe za pristupom, potreba provođenja sigurnosne provjere tvrtke i osoblja, izbor oblika ugovora, utvrđivanje sigurnosnih zahtjeva u ugovorima, razrada procedure razmjene povjerljivih podataka i sl. [18]  

Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima

Ova uredba obuhvaća osobe za koje se provodi sigurnosna provjera, vrste provjere i postupak za provođenje sigurnosne provjere. Sigurnosna provjera provodi se za osobe koje pristupaju klasificiranim podacima, u okvirim dužnosti i poslova:

  • u državnim tijelima
  • pravnih i fizičkih osoba koje obavljaju poslove za državna tijela
  • temeljem međunarodnih ugovora ili sigurnosnih sporazuma koje je Republika Hrvatska zaključila s drugim državama ili organizacijama

Sigurnosno provjeru provode Sigurnosno-obavještajna agencija i Vojna sigurnosno-obavještajna agencija, a sigurnosnom provjerom se utvrđuju činjenice od značaja za ocjenu povjerljivosti i pouzdanosti osobe za pristup klasificiranim podacima. Postoje djelomična i potpuna sigurnosna provjera. Djelomična sigurnosna provjera provodi se za pristup podacima označenim kao službena tajna stupnja tajnosti tajno i vojna tajna stupnja tajnosti tajno, dok se potpuna sigurnosna provjera provodi s za pristup podacima označenim kao državna tajna, službena tajna stupnja tajnosti vrlo tajno te vojna tajna stupnja tajnosti vrlo tajno.

Sigurnosna provjera provodi se na zahtjev Ureda Vijeća za nacionalnu sigurnost upućenog nadležnoj sigurnosno-obavještajnoj agenciji. Taj zahtjev sadrži:

  • ime i prezime osobe za koju je podnesen zahtjev
  • dužnost ili poslove u okviru kojih pristupa klasificiranim podacima
  • vrstu sigurnosne provjere
  • pisanu suglasnost osobe za koju se provodi sigurnosna provjera
  • popunjeni upitnik

Na kraju postupka izdaje se certifikat. [19]

Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima

Ovom Uredbom propisuje se način označavanja klasificiranih i neklasificiranih podataka, sadržaj i izgled Uvjerenja o obavljenoj sigurnosnoj provjeri (u daljnjem tekstu: certifikat), te sadržaj i izgled Izjave o postupanju s klasificiranim podacima. Ovom Uredbom propisuje se način označavanja klasificiranih i neklasificiranih podataka, sadržaj i izgled Uvjerenja o obavljenoj sigurnosnoj provjeri (u daljnjem tekstu: certifikat), te sadržaj i izgled Izjave o postupanju s klasificiranim podacima. Označavanje klasificiranih podataka stupnjevima tajnosti VRLO TAJNO, TAJNO, POVJERLJIVO i OGRANIČENO, provodi se pri nastanku klasificiranih dokumenata i drugih zapisa klasificiranih podataka, ili prilikom periodične procjene stupnja tajnosti podatka. Vlasnik klasificiranog podatka može podatak označiti i dodatnim zaštitnim oznakama o:

  • zabrani ili ograničavanju umnožavanja podatka
  • zabrani, ograničavanju i načinu daljnje distribucije podataka drugim primateljima
  • isteku roka tajnosti kojeg je vlasnik klasificiranog podatka predvidio pri njegovom nastanku

Certifikat ove Uredbe sadrži:

  • naziv tijela nadležnog za izdavanje certifikata
  • jedinstveni broj pod kojim je certifikat izdan
  • ime i prezime, datum i mjesto rođenja osobe kojoj se certifikat izdaje
  • stupanj tajnosti za koji se certifikat izdaje
  • datum izdavanja certifikata
  • rok važenja certifikata
  • ime i prezime ovlaštene osobe u tijelu koje izdaje certifikat
  • pečat tijela koje izdaje certifikat


Nsamonik1.jpg

Slika 11: Uvjerenje o sigurnosnoj provjeri

[20]

Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka

Ovom Uredbom određuju se mjere, sredstva i uvjeti pohra¬nji¬vanja, osiguranja i zaštite te prijenosa posebnih kategorija osobnih podataka i zbirki takvih podataka, mjere održavanja i provjere ispravnosti rada računalne, telekomunikacijske i pro¬gram¬ske opreme sustava za vođenje zbirki posebnih kategorija osobnih podataka, osiguranje radnih prostorija u kojima je smještena ta oprema, osobe ovlaštene za provedbu predviđenih mjera te osobe odgovorne za nadzor nad provedbom tih mjera. Odredbe ove Uredbe na odgovarajući se način primjenjuju i na zbirke posebnih kategorija osobnih podataka koje se ručno obrađuju.

Pojedini izrazi u ovoj Uredbi imaju sljedeće značenje: 1. Sustav za vođenje zbirke osobnih podataka je sustav koji se sastoji od računalne, telekomunikacijske, upravljačke i programske opreme, te svih osobnih podataka koji se tim sustavom unose, pohranjuju i prenose.
2. Računalo za vođenje zbirke je računalo u koje je ugrađena upravljačka i programska oprema sustava za vođenje zbirke osobnih podataka.
3. Središnje računalo zbirke je računalo u koje je ugrađena upravljačka i programska oprema za obradu i pohranu zbirke osobnih podataka.
4. Razvojno računalo je računalo u koje je ugrađena potrebna upravljačka i programska oprema u razvitku, oprema koja se provjerava, te oprema potpuno jednaka opremi ugrađenoj u računala za vođenje zbirke osobnih podataka.
5. Administrator zbirke osobnih podataka je osoba ovlaštena brinuti o sustavu za upravljanje zbirkama osobnih podataka i o svim vidovima osiguranja i pohranjivanja podataka.
6. Administrator mrežnog sustava je osoba ovlaštena brinuti o telekomunikacijskoj opremi, pristupnim putevima, mreži, modemskim i drugim vezama između računalnih sustava.
7. Administrator upravljačkog sustava je osoba ovlaštena brinuti o ugradnji i ispravnom radu upravljačkog sustava i druge upravljačke programske opreme.
8. Uređaj za neprekidno napajanje je uređaj koji u slučaju prekida ili nestanka električne energije omogućava nesmetan nastavak rada računala i druge opreme kroz određeno kratko vrijeme, tako da se poslovi u tijeku mogu završiti bez opasnosti za cjelovitost informacija koje se tim računalom i opremom obrađuju, a računalo i druga oprema u tom vremenu mogu uredno utrnuti.
9. Pohranjivanje podataka sustava je postupak pohranjivanja sigurnosnog primjerka podataka za slučaj gubitka, oštećenja ili uništenja podataka.
10. Povrat pohranjenih podataka je postupak vraćanja podataka u prethodno stanje sa sigurnosnog primjerka nakon gubitka, oštećenja ili uništenja podataka pri čemu tako vraćen skup podataka mora biti u posljednjem sukladnom stanju i bez gubitka informacija.
11. Obnavljanje rada računalnog sustava je skup postupaka za povratak računalnog sustava i svih započetih poslova u posljednje sukladno stanje tog sustava.
12. Ponovno uključivanje sustava u rad je skup postupaka za uključivanje računalnog sustava u rad nakon neuobičajenog prekida rada tog sustava.

Mjere zaštite

Priključenje računalne, telekomunikacijske i druge opreme sustava na energetsku mrežu obavlja se prema uputama proiz¬vođača te opreme, u skladu s važećim tehničkim normama. Računala za vođenje zbirki osobnih podataka i središnja računala zbirki priključuju se na energetsku mrežu preko uređaja za neprekinuto napajanje. Modemski priključci i njihovi brojevi, koji se koriste za pristup sustavu na kojem su pohranjene zbirke posebnih kategorija osobnih podataka, ne objavljuju se u telefonskim imenicima i ne smiju biti dostupni preko službe za davanje telefonskih brojeva. Računala za vođenje zbirki osobnih podataka, središnja računala zbirki i računalnu mrežu smješta, postavlja i ugrađuje stručna osoba uz odobrenje voditelja zbirke osobnih podataka, u skladu s važećim normama, standardima i tehničkim uputama, prema projektu. Računala za vođenje zbirki osobnih podataka, središnja računala zbirki i računalnu mrežu smješta, postavlja i ugrađuje stručna osoba uz odobrenje voditelja zbirke osobnih podataka, u skladu s važećim normama, standardima i tehničkim uputama, prema projektu. Računalo za vođenje zbirki za obradu posebnih kategorija osobnih podataka i središnje računalo sustava mora biti opremljeno(navest ćemo samo neke osobne mehanizme):

  • mehanizmom za sigurnosno prijavljivanje za rad s moguć¬noš¬ću pohrane podataka o prijavljivanju za rad kako bi se pristup računalima mogao nadzirati i ograničiti
  • mehanizmom za sprječavanje neovlaštenog iznosa i unosa podataka uporabom prijenosnih informatičkih medija, komunikacijskih priključaka i priključaka za ispis podataka
  • mehanizmom zaštite od računalnih virusa i drugih štetnih pro¬grama
  • mehanizmom kriptološkog osiguranja posebnih kategorija osobnih podataka na prijenosnim informatičkim medijima za poh¬ranu i u toku prijenosa takvih podataka informatičkim i telekomunikacijskim sustavima

[21]

Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka

Ovom uredbom propisuje se način vođenja evidencije o zbirkama osobnih podataka koje vode državna tijela, tijela lokalne i područne (regionalne) samouprave te fizičke i pravne osobe koje obrađuju osobne i propisuje se obrazac te evidencije. Upisivanje podataka u evidenciju zbirke osobnih podataka i druge poslove vezane uz evidenciju zbirke osobnih podataka voditelja zbirke osobnih podataka provodi osoba odgovorna za vođenje pojedine zbirke osobnih podataka. Evidencije o zbirkama osobnih podataka mogu se voditi ručno ili sredstvima za automatsku obradu podataka, ako posebnim zakonom nije drugačije određeno. Svaka evidencija o zbirci osobnih podataka kao i svaka izmjena evidencije o zbirci osobnih podataka označava se brojčanom oznakom koju određuje voditelj zbirke osobnih podataka sukladno vremenskom nastanku odnosno uspostavi zbirke.

Evidencija o svakoj zbirci osobnih podataka sadrži temeljne informacije o zbirci i to:
1. naziv zbirke
2. naziv, odnosno ime voditelja zbirke i njegovo sjedište, odnosno adresu
3. svrhu obrade
4. pravni temelj uspostave zbirke podataka
5. kategorije osoba na koje se podaci odnose
6. vrste podataka sadržanih u zbirci podataka
7. način prikupljanja i čuvanja podataka
8. vremensko razdoblje čuvanja i uporabe podataka
9. osobno ime, odnosno naziv korisnika zbirke, njegovu adresu, odnosno sjedište
10. naznaku unošenja odnosno iznošenja podataka iz Republike Hrvatske s naznakom države, odnosno međunarodne organizacije i inozemnog korisnika osobnih podataka te svrhe za to unošenje odnosno iznošenje propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim pristankom osobe na koju se podaci odnose
11. naznaku poduzetih mjera zaštite osobnih podataka.

[22]

--Nsamonik 01:57, 20. siječnja 2015. (CET)

Primjer 1 - Informacijska sigurnost u Hrvatskom zavodu za mirovinsko osiguranje

Informacijska sigurnost u državnoj organizaciji kakva je Hrvatski zavod za mirovinsko osiguranje realizirana je u skladu sa konceptima sigurnosti kakvi vrijede u organizacijama kao što su NATO i EU, te zakonima Republike Hrvatske vezanim za informacijsku sigurnost kao što su primjerice Zakon i tajnosti podataka i Zakon o informacijskoj sigurnosti. Prilikom provođenja strategije informacijske sigurnosti Hrvatski zavod za mirovinsko osiguranje morao je obratiti posebnu pažnju na pojedine dijelove, procese i entitete organizacije kao što su primjerice zaposlenici u organizaciji i podaci koji kolaju organizacijom čija je sigurnost postignuta primjenom različitih sigurnosnih mjera propisanih za što bolju realizaciju informacijske sigurnosti.

Hrvatski zavod za mirovinsko osiguranje u svome poslovanju koristi mnoštvo osjetljivih informacija koji se odnose na osiguranike, korisnike i radnike Zavoda te je samim time njihova sigurnost vrlo bitna. Hrvatski zavod za mirovinsko osiguranje prikuplja, čuva, obrađuje i isporučuje informacije te se informacijska sigurnost u HZMO-u bavi zaštitom tih informacija bez obzira na oblik u kojem su pohranjene te informacije, u papirnatom ili elektroničkom obliku. Informacije koje kolaju kroz organizaciju potrebno je zaštititi od nehotimičnog uništenja, neovlaštenog pristupa i neovlaštene izmjene informacija na što u velikom broju slučaja utječu zaposlenici u organizaciji i to u 70% slučaja bez namjere. Informacije također treba zaštititi i od prirodnih nepogoda kao što su primjerice poplave, požari ili potresi. Kako bi se u HZMO-u ostvarila željena razina informacijske sigurnosti potrebno je bilo razraditi cjelokupni sustav informacijske sigurnosti, detaljno proučiti sve sigurnosne mjere, standarde i nadležnosti institucija za informacijsku sigurnost u Republici Hrvatskoj. Za što bolju organizaciju plana implementacije informacijske sigurnosti u HZMO-u izvršena je podjela na pet međunarodno prihvaćenih sigurnosnih područja informacijske sigurnosti u državnim organizacijama, tih pet sigurnosnih područja su:
1.Sigurnosne provjere
2.Fizička sigurnost
3.Sigurnost podataka
4.Sigurnost informacijskih sustava
5.Sigurnost vanjske suradnje

Za tijela državne vlasti postoji čitav niz mjera i standarda koji se moraju provesti da bi se ostvarilo stanje povjerljivosti, cjelovitosti i raspoloživosti podataka. Obavezne mjere i standardi koje provode tijela državne vlasti propisane su Zakonom o informacijskoj sigurnosti te Uredbom o mjerama informacijske sigurnosti kao i mnoštvom ostalih provedbenim aktima. Mjere i standardi informacijske sigurnosti predstavljaju opća pravila zaštite podataka koja se realiziraju na fizičkoj, tehničkoj ili organizacijskoj razini. Propisi koji uređuju područje informacijske sigurnosti su sljedeći:
1.Nacionalni program informacijske sigurnosti Republike Hrvatske
2.Zakon o zaštiti osobnih podataka (Narodne novine, broj 103/2003, 118/2006, 41/2008,130/2011 i 106/2012 – pročišćeni tekst)
3.Zakon o informacijskoj sigurnosti (Narodne novine, broj 79/2007)
4.Zakon o tajnosti podataka (Narodne novine, broj 79/2007 i 86/2012)
5.Zakon o sigurnosnoj provjeri (Narodne novine, broj 85/2008)
6.Uredba o mjerama informacijske sigurnosti (Narodne novine, broj 46/2008)
7.Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnihkategorija osobnih podataka (Narodne novine, broj 139/2004)
8.Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja oobavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima (Narodne novine, broj 102/2007)
9.Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijskusigurnost (Narodne novine, broj 100/2008)
10.Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (Narodnenovine, broj 105/2004)
11.Pravilnik o standardima sigurnosne provjere (UVNS, neklasificirano)
12.Pravilnik o standardima fizičke sigurnosti (UVNS, neklasificirano)
13.Pravilnik o standardima sigurnosti podataka (UVNS, neklasificirano)
14.Pravilnik o standardima organizacije i upravljanja područjem sigurnosti informacijskih sustava (UVNS, neklasificirano)
15.Pravilnik o standardima sigurnosti poslovne suradnje (UVNS, neklasificirano)
16.Pravilnik o standardima sigurnosti informacijskih sustava (ZSIS, neklasificirano)
17.Pravilnik o prevenciji i odgovoru na računalno-sigurnosne ugroze (ZSIS, neklasificirano)
18.Pravilnik o sigurnosnoj akreditaciji (ZSIS, neklasificirano)

Iz razloga što se u poslovanju Hrvatskog zavoda za mirovinsko osiguranje u najvećem dijelu radi o osobnim podacima, Zavod je proveo sve mjere vezane uz obradu osobnih podataka koje su propisane Zakonom o zaštiti osobnih podataka te je u skladu sa člankom 18. tog Zakona imenovao službenika za zaštitu osobnih podataka. Zavod strogo poštuje odredbe Zakona o zaštiti osobnih podataka pri postupanju sa podacima, a u slučajevima koji zahtijevaju dodatna pojašnjenja, službenik za zaštitu osobnih podataka obraća se Agenciji za zaštitu osobnih podataka radi konzultacije. U poslovanje Zavoda su općim aktima i odredbama također uvedeni i određeni sigurnosni čimbenici, uvažavajući činjenicu da postoji cijeli niz segmenata u informacijskom i infrastrukturnom području poslovanja koji zahtijevaju uvođenje odredbi i procedura u postupanju radi zaštite cjelokupnog informacijskog sustava. U Zavodu je prepoznato da informacijski sustav ne uključuje samo IT tehnologiju, već i rješavanje određenih organizacijskih preduvjeta te upravljanje ljudskim potencijalima, što dovodi do zaključka da informacijska sigurnost prelazi dosege Sektora za Informatiku. U Hrvatskom zavodu za mirovinsko osiguranje je i prije provođenja navedenih regulativa postojala svijest o potrebi čuvanja informacija koja je bila postignuta aktima koji djelomično uređuju informacijsku sigurnosti, neki od tih akata su:
1.Pravilnik o pravu na pristup informacijama
2.Pravilnik o zaštiti informatičke opreme, mreže, dokumentacije i podataka
3.Pravilnik o arhivskom i registraturnom gradivu
4.Pravilnik o zaštiti tajnosti podataka i priopćavanja javnosti informacija o radu HZMO-a
5.Pravilnik o zaštiti od požara
6.Pravilnik o upravljanju projektima u HZMO-u
7.Pravilnik o radu
8.Upute za rukovanje informatičkom i mikrografskom opremom
9.Upute Prijava korisnika u IMS
10.Upute za korisnike MS Outlooka
11.Upute za prijavu i odjavu s mreže
12.Upute za rad s aplikacijom Servisnog centra
13.Uputa o prijavi na TSO te radu s aplikacijom za administriranje identifikacijskimpodacima korisnika središnjih baza podataka HZMO-a
14.Uputa o generiranju, promjeni i pohrani zapisa lozinke koja omogućava najviša pravapristupa pojedinačnom računalu u informatičkom sustavu HZMO-a
15.Upute o organizaciji mikrografske obrade dokumenata
16.Upute za korištenje interneta i elektroničke pošte u HZMO-u
17.Call centar – upute za rad
18.Upute za ažuriranje internetske stranice HZMO-a

Zavod je u svibnju 2011. godine započeo sa projektom „Uvođenje sustava za upravljanje informacijskom sigurnošću u Zavodu“. U suradnji sa vanjskim konzultantom, stručnjaci Zavoda su u skladu s metodologijom rada na uvođenju standarda ISO/IEC 27001 izradili snimku stanja koja je ujedno i procjena rizika kao početni korak pri uvođenju sustava upravljanja informacijskom sigurnošću. U prvoj fazi uvođenja sustava upravljanja informacijskom sigurnošću napravljena je prva procjena informacijskih rizika i pripremljeni su dokumenti kao što su politike, procedure i upute koji sadrže kriterije za potpuni nadzor informacijske sigurnosti u Zavodu. Dokumenti su uređeni sukladno metodologiji standarda ISO/IEC 27001 koju obvezuje Uredba o mjerama informacijske sigurnosti. Ukupno je napravljeno 25 dokumenata koji bi uz postojeće akte Zavoda trebali osigurati informacijsku sigurnost primjerene razine.

1.Krovni dokumenti koje je Zavod izradio su:

  • Odluka o opsegu sustava za upravljanje informacijskom sigurnošću,
  • Politika sustava za upravljanje informacijskom sigurnošću,
  • Procedura za upravljanje dokumentacijom i zapisima te
  • Pravilnik o zaštiti informatičkog sustava, dokumentacije i podataka

2.Dokumenti koji su namijenjeni svim sudionicima sustava su:

  • Politika pravilne uporabe informacijskih resursa
  • Politika rukovanja klasificiranim informacijama
  • Uputa za rukovanje klasificiranim informacijama

3.Dokumenti vezani za procjenu rizika informacijske sigurnosti i djelovanja na njih:

  • Metodika za procjenu i obradu rizika
  • Procjena rizika
  • Obrada rizika
  • Izvještaj o procjeni rizika
  • Izvještaj o primjenjivosti

4.Dokumenti za kontrolu pristupa informacijama:

  • Politika kontrole pristupa
  • Politika uklanjanja i uništavanja
  • Uputa za nadzor uporabe informacijskog sustava
  • Izjava o povjerljivosti

5.Dokumenti vezani za razvoj i održavanje sustava:

  • Procedura upravljanja promjenama
  • Uputa za specificiranje sigurnosnih zahtjeva
  • Politika sigurnosnih kopija

6.Dokumenti koji uređuju odnose s vanjskim partnerima:

  • Politika razmjene informacija
  • Uputa za uređivanje sigurnosnih pitanja s dobavljačima i partnerima

7.Dokumenti vezani za upravljanje incidentima:

  • Procedura za upravljanje incidentima
  • Procedura za korektivne i preventivne mjere

8.Dokumenti vezani za kontrolu sustava:

  • Procedura za interni audit

9.Dokumenti vezani za osvješćivanje i naobrazbu zaposlenika:

  • Politika osvješćivanja i izobrazbe

[37]

[Timski rad]

Primjer 2 - Primjena informacijske sigurnosti u malim start-up poduzećima

U ovom primjeru opisati ćemo uvođenje sustava informacijske sigurnosti u manja start-up poduzeća. Manja IT poduzeća obično počinju razmišljati o uvođenju sustava informacijske sigurnosti tek nakon što su prethodno bili žrtva cyber kriminala ili nakon što se nešto slično dogodi nekom sličnom poduzeću. Ukoliko poduzeće zakasni s uvođenjem prethodno navedenog sustava potencijalne štete mogu biti pogubne.

1. korak

Stručnjaci kompanije Kaspersky Lab sastavili su smjernice kojih bi se trebalo pridržavati prilikom postavljanja IT mreže u malim poduzećima (do 25 zaposlenika). Obrazovanje zaposlenika je veoma važno, no uz to postoje i mnoge druge važne smjernice. Prvi korak je izrada popisa inventure. Potrebno je napraviti Excel tablicu svih prijenosnih računala, radnih stanica, server i routera tvrtke. U tablici bi se trebale naći i bilješke i aplikacijama koje su ključne za poduzeće.

2. korak

Sljedeći korak bi trebao biti određivanje prioriteta, odnosno važnosti pojedine opreme. Važnost opreme se određuje po tome koliko je za poslovanje poduzeća važna ta oprema, Najvažnijim dijelovima opreme treba dodijeliti oznaku Kategorija 1, dok uređajima koji odrađuju manje bitne funkcije treba dodijeliti oznaku Kategorija 2, Kategorija 3, itd. Na primjer, za tvrtku koja se bavi online prodajom, server je dio opreme koja ima oznaku Kategorija 1, dok je za klasični dućan računalo s blagajnom dio opreme kategorije 1. Ukoliko je moguće, oprema koja spade u najvišu kategoriju, trebala bi imati prioritet.

3. korak

Treći korak je veoma jednostavan, no nikako ga se ne smije preskočiti. U ovom koraku potrebno je osigurati operativan firewall koji može zaustaviti zlonamjerni internetski promet i koji može zaustaviti krijumčarenje podataka izvan mreže. Za većinu malih tvrtki firewall će biti uključen u internetski router pa se vlasnici tvrtki trebali konzultirati sa pružateljima internetskih usluga kako bi bili sigurni da je firewall ispravno konfiguriran. Sljedeći korak je zaštita podataka na server. U trenutku kada tvrtka ima više zaposlenika koji rade na zajedničkim dokumentima pojavljuje se potreba za malim podatkovnim severom – Windows Small Business Server 2011, odnosno posebnim računalom predviđenim samo za pohranu podataka s ciljem da informacije budu centralizirane i dostupne svima. Server tada postaje ključan resurs i ima veliku važnost pa ga je potrebno zaštiti od zlonamjernih programa. Sigurnosno kopiranje podataka na server ima još veću važnost. Potrebno je osigurati kopiranje podataka na dnevnoj razini. Ove sigurnosne kopije mogu se kopirati na drugi server, eksterni čvrsti disk ili u Oblaku.

Zaštita osobnih računala je sljedeći korak u izgradnji sigurnog informacijskog sustava. Računala su okosnica poslovanja i potrebna im je zaštita. Moderni zlonamjerni program se konstantno mijenjaju i mogu evoluirati u roku od nekoliko sati te poraziti jednostavne antivirusne skenere i zbog toga je potrebno osigurati sigurnosni paket s višeslojnom zaštitom. Također, trebalo bi uključiti program za upravljanje lozinkama na računalima zaposlenika koji sprema njihove lozinke u šifrirani trezor i automatski unosi lozinke kada se to od njega traži. To je mnogo bolje rješenje nego imati lozinke za računala tvrtke zapisane na komadićima papira.

4. korak

Završni korak je nadgledanje. Ovaj korak odnosi se na korištenje jednog sigurnosnog riješenja kao što je Kaspersky Small Office Security koji štiti sve dijelove poslovanja i omogućava vlasniku uvid u status sigurnosti informacije o licencama proizvoda za svaki uređaj u uredu, sve na jednom zaslonu. Kaspersky Small Office Security ima ugrađen firewall, program za upravljanje lozinkama, zaštitu podatkovnog server i šifriranje podataka te uz sve to omogućava vlasnicima da ograniče zaposlenicima pristup pojedinim internetskim stranicama pomoću jednostavnog izbornika. Primjerice, vlasnici mogu zabraniti pristup društvenim mrežama zaposlenicima s tvrtkinih uređaja u samo nekoliko klikova mišem. Kada se postave ovi elementi zaštite, vlasnici tvrtke će biti sigurni da su njihov rad i podaci o klijentima zaštićeni i mogu se posvetiti razlozima zbog kojih su i započeli svoj posao. [23]

[Timski rad]

Zaključak

Sigurnost informacijskih sustava veoma je kompleksan i za današnja poduzeća važan pojam. Većina poduzeća ima razvijene složene informacijske sustave, a samim time izložena su i raznim prijetnjama. Najbolja praksa koju bi poduzeća trebala slijediti prilikom izgradnje sigurnih informacijskih sustava je pridržavanje pravila i vođenje sugestijama propisanim u zakonima Republike Hrvatske. Zakoni Republike Hrvatske obuhvaćaju gotovo sve aspekte sigurnosti vezane uz informacijske sustave. Usprkos potencijalnim rizicima kojima su izložena, mnoga poduzeća još uvijek ne pridaju dovoljno pažnje sigurnosti vlastitih informacijskih sustava.

--Nsamonik 01:57, 20. siječnja 2015. (CET)

Podjela rada

Josip Kolarić

Luka Blažek

Nino Sikavica

Nikola šamonik

Timski rad

Literatura

1. Zakon o računovodstvu. Dostupno na: http://narodne-novine.nn.hr/clanci/sluzbeni/2007_10_109_3174.html, 19.12.2014.
2. Zakon o arhivskom gradivu i arhivima. Dostupno na: http://arhinet.arhiv.hr/_Download/PDF/Zakon_o_arhivskom_gradivu_i_arhivima.pdf, 19.12.2014.
3. Zakon o telekomunikacijama. Dostupno na: http://narodne-novine.nn.hr/clanci/sluzbeni/2003_07_122_1731.html, 19.12.2014.
4. Uredba o obvezama iz područja nacionalne sigurnosti RH za pravne i fizičke osobe u telekomunikacijama. Dostupno na: http://www.propisi.hr/print.php?id=8164, 19.12.2014.
5. Neželjene elektroničke komunikacije. Dostupno na: http://www.hakom.hr/default.aspx?id=1394 , 19.12.2014.
6. Novi propisi u elektroničkim komunikacijama od Nova godine. Dostupno na: http://www.hakom.hr/default.aspx?id=6947 , 11.1.2015.
7. Zakon o elektroničkom potpisu. Dostupno na: http://narodne-novine.nn.hr/clanci/sluzbeni/2002_01_10_242.html, 20.12.2014.
8. Elektronički potpis. Dostupno na : http://www.mingo.hr/page/kategorija/e-potpis, 20.12.2014.
9. E-potpis Fina. Dostupno na: http://www.fina.hr/Default.aspx?sec=960, 20.12.2014.
10. Zakon o zaštiti osobnih podataka. Dostupno na: http://narodne-novine.nn.hr/clanci/sluzbeni/2012_09_106_2300.html, 21.12.2014.
11. Agencija za zaštitu osobnih podataka. Dostupno na: http://www.azop.hr/page.aspx?PageID=16, 21.12.2014.
12. Konvencija o kibernetičkom kriminalu i Kazneni zakon Republike Hrvatske. Dostupno na: http://narodne-novine.nn.hr/clanci/medunarodni/327873.html, 25.12.2014.
13. Goran Vojković, Marija Štambuk-Sunjić, Konvencija o kibernetičkom kriminalu i kazneni zakon Republike Hrvatske. Dostupno na: http://hrcak.srce.hr/37805, 25.12.2014.
14. Povreda tajnosti i dostupnosti računalnih podataka. Dostupno na: http://www.mup.hr/82845.aspx, 25.12.2014.
15. Računalno krivotvorenje i zlouporaba naprava. Dostupno na: http://policija.hr/MainPu.aspx?id=169962, 25.12.2014.
16. Računalna prijevara. Dostupno na: http://www.vecernji.hr/crna-kronika/u-automate-ubacili-viruse-i-igracima-davali-upute-za-igru-378218, 25.12.2014.
17. Dječja pornografija na računalnom sustavu ili mreži. Dostupno na: http://www.jutarnji.hr/zbog-djecje-pornografije-osuden-je-ugledni-fizicar-iz--rudera-boskovica-/1042366/, 25.12.2014.
18. Nacionalni program informacijske sigurnosti u Republici Hrvatskoj, dostupno 10.01.2015. na http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2005-04-110.pdf
19. Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima, dostupno 10.1.2015. na http://elf.foi.hr/pluginfile.php/9781/mod_folder/content/0/Ostalo-neoznaceno/Uredba_o_sigurnosnoj_provjeriza_pristup_klasificiranim_podacima.docx?forcedownload=1
20. Uredba o načinu označavanja klasificiranih podataka, sadržaju i izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o postupanju s klasificiranim podacima, dostupno 11.1.2015. na http://narodne-novine.nn.hr/clanci/sluzbeni/329234.html
21. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka, dostupno 11.1.2015. na http://narodne-novine.nn.hr/clanci/sluzbeni/2004_10_139_2433.html
22. Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka, dostupno 12.1.2015. na http://narodne-novine.nn.hr/clanci/sluzbeni/312673.html
23. Sigurnost za start-up i mala poduzeća – dio strategije, ne usputna ideja, dostupno 12.1.2015. na http://www.ictbusiness.info/poslovna-rjesenja/sigurnost-za-start-up-i-mala-poduzeca-dio-strategije-ne-usputna-ideja 24. Središnji državni ured za e-Hrvatsku, Nacionalni Program Informacijske Sigurnosti u Republici Hrvatskoj, preuzeto 9. siječanj 2015. sa http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2005-04-110.pdf
25. Laboratorij za sustave i signale, Informacijska sigurnost u Hrvatskoj, preuzeto 9. siječanj 2015. sa http://security.lss.hr/images/dokumenti/lss-pubdoc-2010-10-003.pdf
26. Dmitrović A, Zakonska regulativa informacijske sigurnosti, preuzeto 9. siječanj 2015. sa http://sistemac.carnet.hr/system/files/Zakonska+regulativa.pps
27. Nacionalni CERT, O Nacionalnom CERT-u, dostupno 10. siječanj 2015. na http://www.cert.hr/onama
28. Zavod za sigurnost informacijskih sustava, O nama, dostupno 10. siječanj 2015. na https://www.zsis.hr/default.aspx?id=13
29. Ured Vijeća za nacionalnu sigurnost, O nama, dostupno 10. siječanj 2015. na http://www.uvns.hr/default.aspx?id=46
30. Agencija za podršku informacijskim sustavima i informacijskim tehnologijama, O nama, dostupno 10. siječanj 2015. na http://www.apis-it.hr/apisit/ws.nsf/public/index?openform&lang=hr&id=89A6&
31. Agencija za zaštitu osobnih podataka, O agenciji, dostupno 10. siječanj 2015. na http://www.azop.hr/page.aspx?PageID=7
32. Zakon o informacijskoj sigurnosti, dostupno 11. siječnja 2015. na http://www.zakon.hr/z/218/Zakon-o-informacijskoj-sigurnosti
33. Zakon o tajnosti podataka, dostupno 11. siječnja 2015. na http://www.propisi.hr/print.php?id=6700
34. Zakon o sigurnosnim provjerama, dostupno 10. siječnja 2015. na http://www.zakon.hr/z/536/Zakon-o-sigurnosnim-provjerama
35. Zakon o sigurnosno-obavještajnom sustavu, dostupno 13. siječnja 2015. na http://narodne-novine.nn.hr/clanci/sluzbeni/127655.html
36. Zakon o elektroničkoj ispravi, dostupno 12. siječnja 2015. na http://www.zakon.hr/z/272/Zakon-o-elektroni%C4%8Dkoj-ispravi
37. Strategija informacijske sigurnosti u Hrvatskom zavodu za mirovinsko osiguranje 2014.-2017., dostupno 09. siječnja 2015. na https://www.google.hr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CB4QFjAA&url=http%3A%2F%2Fwww.mirovinsko.hr%2FUserDocsImages%2FStrategije%2FStrategija%2520informacijske%2520sigurnosti%2520HZMO%25202014.pdf&ei=msK9VNS8NMOoPKqlgcAC&usg=AFQjCNFh6lvvlSwoZdT1KqE-EA146XeCXA&sig2=5qlLpichHNBs2_qD3_BFGQ&bvm=bv.83829542,d.ZWU

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima