Odborné články banner

Odborné články

Šírime povedomie o informačnej bezpečnosti

Kam smeruje ochrana osobných údajov?

PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, OKTÓBER 2013


Nový zákon o ochrane osobných údajov č. 122/2013 Z.z., ktorý je účinný od 1.7.2013 prináša viacero noviniek. Súvislosti však možno privedú organizácie k zamysleniu sa nad zavedením riadenia informačnej bezpečnosti pre ochranu dôležitých aktív a nielen k riešeniu ochrany iba osobných údajov.

Pokiaľ sa informačná bezpečnosť týka ochrany čohokoľvek, čo má pre spoločnosť cenu, v prípade ochrany  osobných údajov hovoríme len o ochrane osobných údajov týkajúcich sa fyzických osôb. Osobné údaje predstavujú iba časť aktív, na ochrane ktorých by malo spoločnosti záležať.

Stanovenie bezpečnostných opatrení a ich dokumentácie na ochranu údajov je zákonom o ochrane osobných údajov upravené vo vykonávacej vyhláške č. 164/2013 Z.z.. Spôsob určenia opatrení a takisto ich štruktúra je analogická klasickému riadeniu informačnej bezpečnosti tak, ako ho poznáme napríklad z normy STN ISO/IEC 27001.  Vyhláška umožňuje organizácii, ktorá má zavedený systém riadenia informačnej bezpečnosti, riešiť plnenie požiadaviek zákona použitím normy.

V riadenom systéme je dôležitá kontrola, bez ktorej by zrejme nešlo o riadený systém. V tejto veci vyhláška požaduje  stanoviť spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení. Obdobnú požiadavku je možné nájsť aj v spomenutej norme.  

Záverom nechcem presviedčať o nevyhnutnosti zavedenia systému riadenia informačnej bezpečnosti podľa STN ISO/IEC 27001, pretože jeho zavedenie predstavuje náklady, ktoré sa nemusia vrátiť každému. Chcem poukázať na to, že zavedený systém riadenia informačnej bezpečnosti môže pomôcť komukoľvek, kto to s ochranou osobných údajov myslí vážne.

 

Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.