P rira^nik - soros.org.mk · PDF filePrevod od angliski: Oliver Jordanovski Likovno-grafi~ko...

P r i r a ^ n i kza prakti~ no sproveduvawe na

Pravilnikot za tehni~ kitei organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci

„Ako mislite deka tehnologijata}e vi gi re{i problemite so sigurnosta,toga{ ne gi razbirate problemite i ne ja razbirate tehnologijata.”

brus [ Ajner,ekspert za sigurnost

Skopje, 2010

Prira~nik za prakti~no sproveduvawe na Pravilnikot za tehni~kite i organizaciskite merki za obezbeduvawe tajnost i za{tita na li~nite podatoci

izdava~:Direkcija za za{tita na li~nite podatoci

Za izdava~ot:Marijana Maru{i}, Direktor

Urednici: Marijana Maru{i}Neda KorunovskaNade Naumovska

avtor:Andrej Tom{i}

Lektura na komentarite na Pravilnikot za tehni~kite i organizaciskite merki za obezbeduvawe tajnost i za{titana li~nite podatoci:Abakus

Prevod od angliski:Oliver Jordanovski

Likovno-grafi~ko oblikuvawe:Brigada Dizajn

Pe~at:Propoint

Tira`:1000

Pe~ateweto na publikacijata finansiski e poddr`ano od:

CIP-Katalogizacija vo publikacijaNacionalna i univerzitetska biblioteka “Sv. Kliment Ohridski”, Skopje

342.738.03(497.7)(035)

TOM[I], AndrejPrira~nik za prakti~no sproveduvawe na pravilnikot za tehni~kite i organizaciskite merki za obezbeduvawe tajnost i za{tita na obrabotkata na li~nite podatoci/ (avtor Andrej Tom{i}; prevod od angliski jazik Oliver Jordanovski). - Skopje: Direkcija za za{tita na li~ni podatoci, 2010. – 120 str.; 21 sm.

Prevod na deloto: Guidance for practical implementation on the rulebook on the tehnical and organization measures for providing secrecy and protection of personal data processing/ Andrej Tomshic.- fusnoti kon tekstot

ISBN 978-9989-2819-7-6I.Tomshic, Andrej vidi Tom{i}, Andreja) Za{tita na li~ni podatoci- Tehni~ki i organizaciski merki – Makedonija – Prira~niciCOBISS.MK-ID 83285002

PredgovorVoved

I. Op{ ti odredbi7 Predmet na ureduvawe

9 Poimnik

11 Obrabotuva~ na zbirka na li~ ni podatoci

12 Obrabotka na li~ nite podatoci

13 Nivoa na tehni~ ki i organizaciski merki

14 Primena na nivoa

15 Pravila za obrabotka na li~ nite podatoci nadvor od rabotnite prostorii na kontrolorot

17 Evidentirawe i ~uvawe na dokumentacija za softverski programi

18 Odr` uvawe na informaciskiot sistem

II. Osnovno nivo na tehni~ ki i organizaciski merki

20 Dokumentacija za tehni~ki i organizaciski merki

22 Tehni~ki merki

26 Organizaciski merki

28 Fizi~ ka sigurnost na informaciskiot sistem

30 Informirawe za za{ titata na li~ nite podatoci

32 Obvrski i odgovornosti na korisnicite

33 Evidentirawe na incidenti

34 Identifikacija i proverka

36 Kontrola na pristapot

38 Upravuvawe so mediumi

39 Uni{ tuvawe, bri{ ewe ili ~ istewe na mediumot

41 Sigurnosni kopii i povtorno vra}awe na za~ uvanite li~ni podatoci

43 Na~in na ~uvawe na sigurnosnite kopii

SODR@INA

III. Sredno nivo na tehni~ki i organizaciski merki

44 Dopolnitelni pravila za tehni~ ki i organizaciski merki

45 Odgovorno lice za za{tita na li~ nite podatoci

46 Kontrola na informaciskiot sistem i na informati~ kata infrastruktura

48 Identifikacija i proverka

50 Evidentirawe na avtoriziraniot pristap

52 Kontrola na fizi~ki pristap

53 Upravuvawe so mediumi

54 Evidentirawe na incidenti

55 Sigurnosni kopii

56 Testirawe na informaciskiot sistem

IV. Visoko nivo na tehni~ ki i organizaciski merki

57 Sertifikacioni postapki

58 Prenesuvawe na mediumi

59 Prenesuvawe na li~nite podatoci preku telekomunikaciska mre` a

V. Preodni i zavr{ ni odredbi60 Prestanuvawe na va` ewe

60 Vleguvawe vo sila

Godinava se odbeleùvaat pet godini od vospostavuvawe-to na zakonskata i institucionalnata ramka za za{tita na li~nite podatoci vo Republika Makedonija, kako koncept {to podrazbira vklu~uvawe na pravoto na privatnost na gra|anite i za{tita na nivnite li~ni podatoci vo na{iot praven sistem, {to e isklu~itelno vaèn moment vo istorijata na za{titata na osno v nite slobodi i prava na ~ovekot i gra|aninot.

Iskustvata na Direkcijata pokaùvaat deka javnosta pozi-tivno gi prifa}a vospostavenite na~ela za za{tita na li~nite podatoci, koi treba da bidat lesno primenlivi vo praktikata. Vo tekot na dosega{noto rabotewe, Direkcijata oceni deka za celosno po~ituvawe na ovie na~ela, od osobeno zna~ewe e i uredu vaweto na tehni~kite i organizaciskite merki za tajnost i za{tita na li~nite podatoci.

Vo Zakonot za za{tita na li~nite podatoci i vo Pra vilnikot za tehni~ki i organizaciski merki za obezbeduvawe tajnost i za{tita na obrabotkata na li~nite podatoci se utvrdeni merkite {to treba da gi primenat kontrolorite i obrabotuva~ite, so cel da se obezbedi tajnost i za{tita na obrabotkata na li~nite podatoci, a vo zavisnost od prirodata na podatocite {to se obrabotuvaat i rizikot pri nivnata obrabotka, ovie merki se klasificirani na tri nivoa, taka {to kontrolorite i obrabotuva~ite se dol`ni da vodat dokument acija so opis na prezemenite merki.

PREDGOVOR

Imaj}i ja predvid dosega{nata praktika koja{to poka`uva deka obvrskite za kontrolorite i obrabotuva~ite {to pro-izleguvaat od ovoj pravilnik sozdavaat izvesni nejasnotii za niv, iskreno veruvame deka so izrabotkata na Prira~nikot za negovo prakti~no sproveduvawe, vo zna~itelna mera }e se oles ni primenata na Pravilnikot.

Zatoa, Direkcijata za za{tita na li~nite podatoci $ izra-zuva golema blagodarnost na Fondacijata Institut otvoreno op{testvo – Makedonija za kontinuranata poddr{ka, dadena preku potprogramata „Aproksimacija na zakonodavstvoto”, vo ramkite na koja be{e izraboten i publikuvan ovoj Prira~nik, kako i za sevkupnata dosega dadena poddr{ka za afirmacija na pravoto na za{tita na li~nite podatoci. Direkcijata mu izra-zuva golema blagodarnost i na avtorot na Prira~nikot, g. Andrej Tom{i~ od Republika Slovenija, ekspert vo ovaa oblast.

Iskreno se nadevame deka Prira~nikot za prakti~no sproveduvawe na Pravilnikot za tehni~ki i organizaciski mer-ki za obezbeduvawe tajnost i za{tita na obrabotkata na li~nite podatoci }e im ovozmo`i na kontrolorite i na obrabotuva~ite polesno da go razberat Pravilnikot, a so toa i pobrzo da ja podgotvat dokumentacijata so koja }e se garantira tajnosta i za{titata na obrabotkata na li~nite podatoci.

Direkcijata za za{tita na li~nite podatoci

| 5 |

VOVED

Celta na ovoj prira~ nik za prakti~ no sproveduvawe na Pra-vilnikot za tehni~ kite i organizaciskite merki za obezbedu-vawe tajnost i za{ tita na obrabotkata na li~ nite podato-ci (vo natamo{ niot tekst: Prira~ nik) e da obezbedi nasoki za prakti~ no sproveduvawe za kontrolorite koi treba da gi po~ ituvaat odredbite od propisite za za{ tita na li~ nite po-datoci (Zakon za za{ tita na li~ nite podatoci, „Slu` ben ve-snik na RM” br. 38 od 18.3.2009; vo natamo{ niot tekst ZZLP), a se fokusira na sproveduvaweto na Pravilnikot za tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci. Pokonkretno, Prira~ ni-kot dava jasni analizi i objasnuvawa na odredbite vo Pravil-nikot, naglasuvaj} i ja va` nosta na razni odredbi i davaj} i im preporaki na kontrolorite za toa kako da gi ispo~ ituvaat tie odredbi, i toa preku prakti~ ni primeri i nasoki za sprove-duvawe. Nasokite se nameneti za da go napravat Pravilnikot po~ itliv i porazbirliv za kontrolorite, no tie ne mo` at da bidat re{ enie za site problemi vo vrska so sigurnosta na podatocite, bidej} i tehnolo{ kata zadnina na kontrolorite e premnogu raznovidna za da se dade edinstven odgovor na niv-ni te sigurnosni potrebi. Nasokite bi trebalo da im pomognat na kontrolorite da gi razberat uslovite od Pravilnikot i da gi vodat vo izborot i donesuvaweto informirani odluki pri usvojuvaweto na potrebnata dokumentacija, tehnologii i pro-ceduri.

| 7 |

I. OP[ tI ODREDbI

PREDmEt NA uREDuVAwE

^len 1 So ovoj pravilnik se propi{ uvaat tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci { to gi primenuva kontrolorot na zbirka na li~ ni podatoci.

Pred sè, od najgolema va` nost e kontrolorite jasno da ja raz-berat razlikata me| u za{ titata na podatocite i sigurnosta na poda-tocite. Iako e samo del od mnogu po{ irokiot termin za{ tita na (li~ ni) podatoci, sigurnosta na li~ nite podatoci e nesomneno eden od najva` nite, ako ne i najva` en stolb na za{ titata na podatocite. Sigurnosta na infor-maciite se zasnova na tri stolba: tajnost, potpolnost i dostapnost. Kako { to e navedeno vo ~ lenot 1, sigurnosta na li~ nite podatoci se sostoi od tehni~ ki i organi-zaciski merki i proceduri koi obezbeduvaat tajnost i sigurnost na obrabotkata na li~ nite poda-toci. So cel da se obezbedi tajno-sta i sigurnosta na obrabotkata na li~ nite podatoci, kontrolo-

rite i obrabotuva~ ite treba da primenuvaat soodvetni tehni~ ki i organizaciski merki za da gi za{ titat li~ nite podatoci od se kakvo slu~ ajno ili nezakonsko uni{ tuvawe ili slu~ ajno gubewe, menuvawe, neovlasteno otkriva-we ili pristap, osobeno koga ob-rabotkata vklu~ uva i prenos na podatoci preku mre` a, vklu~ itel-no i za{ titni merki protiv koi bilo drugi nezakonski oblici na obrabotka.

Sproveduvaweto na tehni~ ki-te i organizaciskite merki ne e ednokratna zada~ a. Sigurnosta na informaciite e proces vo koj usvojuvaweto na neophodnata do-kumentacija e samo prvata faza. Pravilnikot nema da bide od ko-rist ako sobira prav na nekoja po-

| Prira^ nik |

| 8 |

lica. Procedurite propi{ ani vo dokumentacijata treba navistina da se primenuvaat i da se sledat vo praktikata. Treba da se utvrdat nedostatocite i da se primenat

korektivni merki. Toj pro ces e prika` an vo dobropozna tiot PDCA krug (Plan, Do, Check, Act), (Plan, Izvedba, Proverka, Dej stvuvawe) na informaciskata sigurnost.

Dijagram 1: PDCA krug

| 9 |

| I. Op{ti odredbi |

POImNIk

^len 2 Oddelni izrazi upotrebeni vo ovoj pravilnik go imaat slednovo zna~ ewe:

1. Avtoriziran pristap e ovlastuvawe dodeleno na korisnikot za obrabotka na li~ nite podatoci, za koristewe na odredena informati~ ko komunikaciska oprema ili za pristap do odredeni rabotni prostorii na kontrolorot;

2. Administrator na informaciskiot sistem e lice ovlasteno za planirawe i za primenuvawe na tehni~ ki i organizaciski merki, kako i za kontrola na obezbeduvaweto tajnost i za{ tita na obrabotkata na li~ nite podatoci;

3. Dokument e sekoj zapis koj sodr` i li~ ni podatoci i istiot mo` e da bide vo elektronska ili hartiena forma, da se ~ uva na medium i vo informati~ ko komunikaciskata oprema koja se koristi za obrabotka na podatocite, da se dostavuva preku po{ ta ili da se prenesuva preku telekomunikaciska mre` a.

4. Identifikacija e postapka za identifikuvawe na korisnikot na informaciskiot sistem;

5. Informati~ ka infrastruktura e celata infor mati~ ko komunikaciska oprema na kontrolo rot, vo ramkite na koja se sobiraat, obrabotuvaat i ~ uvaat li~ nite podatoci;

6. Informaciski sistem e sistem so koj se obrabotuvaat li~ nite podatoci so cel da bidat dostapni i upotreblivi za sekoj koj { to ima pravo i potreba da gi koristi;

7. Incident e sekoja anomalija koja vlijae ili mo` e da vlijae na tajnosta i za{ titata na li~ nite podatoci;

8. kontrola na pristap e operacija za dodelu

| Prira^ nik |

| 10 |

vawe na pristap do li~ nite podatoci ili do informati~ ko komunikaciskata oprema so cel proverka na korisnikot;

9. korisnik e lice vraboteno ili anga` irano kaj kontrolorot koe ima avtoriziran pristap do dokumentite i do informati~ ko komunikaciskata oprema;

10. Lozinka e doverliva informacija sostavena od zbir na karakteri koi se koristat za proverka na korisnikot;

11. medium e fizi~ ki ured koj se koristi pri obrabotka na li~ nite podatoci vo informaciskiot sistem, na koj podatocite mo` at da bidat snimeni ili od koj istite mo` at da bidat povtorno vrateni;

12. Odgovorno lice za za{ tita na li~ nite podatoci e lice ovlasteno od kontrolorot za koordinirawe i kontrola na tehni~ kite i organizaciskite merki koi se primenuvaat za tajnost i za{ tita na obrabotkata na li~ nite podatoci;

13. Proverka e postapka za verifikacija na identitetot na korisnikot na informaciskiot sistem;

14. Sigurnosna kopija e kopija na li~ nite podatoci sodr` ani vo elektronskite dokumenti, koi se za~ uvani na medium za da se ovozmo` i nivno povtorno vra} awe.

Definiciite dadeni vo ~ lenot 2 treba da gi napravat odredbite od Pravilnikot porazbirlivi za kontrolorite. Izrazite { to se koristat vo Pravilnikot se odne-suvaat na voobi~ aenite elementi

vo kontekst na informaciskata bezbednost, pa spored toa ne bi trebalo da ima pogolemi prob-lemi so definiciite ili da se javat dvosmislenosti pri nivnoto tolkuvawe.

| 11 |


ObRAbOtuVA^ NA zbIRkA NA LI^ NI PODAtOcI

^len 3 Odredbite od ovoj pravilnik se primenuvaat i pri obrabotka na li~ nite podatoci od strana na obrabotuva~ ot na zbirka na li~ ni podatoci.

^lenot 3 naglasuva deka od-redbite od Pravilnikot se od-nesuvaat na obrabotuva~ ite na zbirki na li~ ni podatoci. Toa e va` na zabele{ ka koja{ to e vo so-glasnost so odredbite ili so pri-menata na samiot Zakon za za{ ti-ta na li~ nite podatoci, { to ne se odnesuva na nekoj vid obrabotka na li~ ni podatoci, tuku na obra-botka na li~ ni podatoci koi se organizirani ili se del od t.n. zbirka na li~ ni podatoci, defi-nirano vo ~ lenot 2(3) od ZZLP , odnosno sekoj strukturiran zbir od li~ ni podatoci do koi mo` e da se pristapi spored konkretni

kriteriumi, bilo da se centra-lizirani, decentralizirani ili rasprostraneti na funkcionalna ili na geografska osnova. Sled-stveno, ovoj pravilnik ne se od-nesuva na za{ titata na li~ nite podatoci koi ne se del od zbirka na li~ ni podatoci.

Nekoja biografija, na primer, ili sli~ en zbir nestrukturirani podatoci (esej, napis itn.) koi sodr` at (nekoi) li~ ni podatoci, ne se smetaat za zbirka na li~ ni podatoci dokolku nema pokazate-li za struktura vo ramkite na koja se organizirani podatocite.

| Prira^ nik |

| 12 |

ObRAbOtkA NA LI^ NItE PODAtOcI

^len 4 Odredbite od ovoj pravilnik se primenuvaat za:

celosno i delumno avtomatizirana obrabotka na li~ nite podatoci i

druga obrabotka na li~ nite podatoci { to se del od postojna zbirka na li~ ni podatoci ili se nameneti da bidat del od zbirka na li~ ni podatoci.

^lenot 4 definira deka ovoj pra vilnik va` i bez ogled na toa dali li~ nite podatoci se ob ra bo-tu vaat ra~ no, delumno avtomatski ili celosno avtomatski. Ponata-mu, se naglasuva deka odredbite od Pravilnikot se primenuvaat do kolku li~ nite podatoci se del od postojna zbirka na li~ ni poda-toci ili ako se nameneti da stanat del od takov sistem. Ovoj va` en mo ment naglasuva deka kontrolo-ri te koi samo ra~ no obrabotuvaat li~ ni podatoci, isto taka treba da se pridr` uvaat do odredbite od Pravilnikot. Sepak, o~ igledno e deka daleku pogolem obem po-da toci se obrabotuvaat preku in-for mati~ kite i komunikaciskite tehnologii so pomalku ili pove} e avtomatizirani proceduri.

Li~ nite podatoci koi se ~ u va-at na hartija i se obrabotuva at ra~ no isto taka treba da pod le-` at na sigurnosni merki. Iako

nekoi od odredbite vo Pra vil-ni kot ne mo` at da se primenat na ra~ no obraboteni li~ ni po-da toci, izvesen broj odredbi, se pak, se mo{ ne va` ni, osobeno organizaciskite merki. Vo po-gled na merkite za tehni~ ka si-gur nost, najva` ni aspekti se pra-{ awata za kontrola na pristapot (fizi~ kiot).

Koga li~ nite podatoci se obra-bo tuvaat ra~ no i se ~ uvaat glavno na hartija, treba da se primenuva stroga kontrola na pristapot. Ko-ris nicite ne treba da gi ostavaat dokumentite koi sodr` at li~ ni podatoci na dofat na neovlaste ni lica. Po zavr{ uvaweto na rabot-noto vreme prostoriite treba da se zaklu~ uvaat, a korisnicite tre ba da se pridr` uvaat do t.n. po litika na ~ isto biro (dokumen-ti te se zaklu~ uvaat vo fioki, a ne se ostavaat na biro).

| 13 |


NIVOA NA tEhNI^ kI I ORGANIzAcISkI mERkI

^len 5 (1) kontrolorot treba da primenuva tehni~ ki i organizaciski merki, koi obezbeduvaat tajnost i za{ tita na obrabotkata na li~ nite podatoci, soodvetno na prirodata na podatocite koi se obrabotuvaat i rizikot pri nivnata obrabotka.

(2) tehni~ kite i organizaciskite merki od stavot (1) na ovoj ~ len se klasificiraat vo tri nivoa: osnovno; sredno i visoko.

^lenot 5(1) e mnogu va` en zatoa { to na nekoj na~ in im dava mal ku „sloboden” prostor i na kontro lo-ri te i na inspekciskite organi. Ne prakti~ no e i neizvodlivo da se bara istoto nivo na tajnost i si gurnost od site kontrolori, od kon trolorite so ogromni zbirki li~ ni podatoci (na primer, gole-ma bolnica) koi sodr` at golem obem li~ ni (i ~ uvstvitelni) po-dato ci, pa sè do malite kontro lo-ri (ka ko, na primer, frizer) koi ob ra bo tuva at mnogu malku li~ ni po datoci. Pri odreduvaweto na soodvetnoto nivo na tajnost i si-gur nost, treba da se zemat pred vid prirodata i rizicite za zlo upo-tre ba na li~ nite podatoci. Zatoa, edna golema bolnica treba da pri-me nuva daleku pokompleksni i

po { iroki merki za sigurnost na po datocite bidej} i obrabotuva vi-soko~ uvstvitelni li~ ni podatoci.

Ponatamu, Pravilnikot raz-likuva tri nivoa na sigurnost i tajnost na podatocite: osnovno, sredno i visoko.

So cel da se ocenat prirodata i rizicite za li~ nite podatoci, bi bilo mudro da se napravi pro-cenka na rizikot, { to vo prak-ti~ na smisla zna~ i deka prvo se podgotvuva pregled na li~ nite podatoci { to se obrabotuvaat, a vo vtorata faza se ocenuvaat prirodata i rizicite za obra-botenite podatoci (na primer, ~ uvstvitelnosta, posledicite vo slu~ aj na zloupotreba ili pre-kr{ uvawe na zakonot). Kolku e

| Prira^ nik |

| 14 |

povisoka ~ uvstvitelnosta na po-datocite i pogolemi rizicite { to gi nosi obrabotuvaweto na odredeni li~ ni podatoci, tolku posilni i poprobojni treba da bidat merkite za sigurnost. ^le-

not 6 od Pravilnikot obezbeduva mo` no razdvojuvawe spored raz-likite vo prirodata i rizicite na obrabotuvaweto na odredeni vidovi li~ ni podatoci.

PRImENA NA NIVOA

^len 6 (1) za site dokumenti zadol` itelno se primenuvaat tehni~ ki i organizaciski merki koi se klasificirani na osnovno nivo.

(2) za dokumentite koi sodr` at li~ ni podatoci { to se odnesuvaat na: krivi~ ni dela, izre~ eni kazni, alternativni merki i merki na bezbednost za izvr{ eni krivi~ ni dela, zadol` itelno se primenuvaat tehni~ ki i organizaciski merki koi se klasificirani na osnovno i sredno nivo.

(3) za dokumenti koi sodr` at: posebni kategorii na li~ ni podatoci, li~ ni podatoci koi se obrabotuvaat za policiski celi i li~ ni podatoci koi se obrabotuvaat zaradi za{ tita na interesite na dr` avnata bezbednost i odbranata na Republika makedonija, zadol` itelno se primenuvaat tehni~ ki i organizaciski merki koi se klasificirani na osnovno, sredno i visoko nivo.

(4) za dokumentite koi sodr` at mati~ en broj na gra| aninot zadol` itelno se primenuvaat tehni~ ki i organizaciski merki koi se klasificirani na osnovno i sredno nivo.

(5) za dokumentite koi se prenesuvaat preku telekomunikaciska mre` a, a sodr` at posebni kategorii na li~ ni podatoci i mati~ en broj na gra| aninot zadol` itelno se primenuvaat tehni~ ki i organizaciski merki koi se klasi

| 15 |


Osnovnoto nivo na si gur nost treba da se primenuva za site li~ ni podatoci. Po~ uv stvi tel-ni te podatoci, na primer vido-vite li~ ni podatoci opfateni vo ~ lenovite 6(2)–6(4), baraat po strogi sigurnosni merki. Kako { to e navedeno vo ~ lenot 6(5), za

dokumentite { to se prenesuvaat preku telekomunikaciska mre` a, za posebnite kategorii li~ ni po-datoci (vidi definicija vo ~ le-not 2(10) od ZZLP) i za mati~ nite broevi na gra| anite e potrebno povisoko nivo na sigurnost.

PRAVILA zA ObRAbOtkA NA LI^ NItE PODAtOcI

NADVOR OD RAbOtNItE PROStORII NA kONtROLOROt

^len 7 Obrabotkata na li~ nite podatoci nadvor od rabotnite prostorii na kontrolorot se vr{ i vrz osnova na obezbedeno pismeno ovlastuvawe od strana na kontrolorot i vo soglasnost so soodvetnoto nivo na tehni~ ki i organizaciski merki koi se primenuvale za obrabotka na podatocite sodr` ani vo dokumentite.

Ne e nevoobi~ aeno del od ob-ra botkata na li~ nite podatoci vo ime na kontrolorite da ja vr{ at iz veduva~ i ili obrabotuva~ i po dogovor. Obrabotuva~ ot po do -go vor mo` e da bide podobro op-re men, da ima podobro znaewe, ra bot na sila i drugi resursi, { to } e dovede do toa del od

obrabotkata na podatocite da se vr{ i nadvor od prostoriite na kontrolorite. Na primer, nekoja mala fir ma mo` e da gi dade po do govor dejnostite od oblasta na smet kovodstvoto ili marketingot ili videonadzorot na firmi koi se specijaliziraat vo taa oblast. Se kako, od vitalno zna~ ewe e

ficirani na osnovno, sredno i visoko nivo.(6) So dokumentacijata za tehni~ ki i organiza

ciski merki, kontrolorot treba da propi{ e i obezbedi soodveten stepen na za{ tita na li~ nite podatoci, soglasno na nivoata koi se opredeleni vo ovoj ~ len.

| Prira^ nik |

| 16 |

davaweto pod dogovor na tie li~ - ni podatoci da se vr{ i edinstve-no so pismeno ovlastuvawe od stra na na kontrolorot i dogovor-ni ot obrabotuva~ na podatoci da gi primenuva istite za{ titni mer ki za li~ nite podatoci.

Se prepora~ uva sekoja dogo-vorna obrabotka na li~ nite po-datoci da se vr{ i vrz osnova na pismen dogovor potpi{ an od obete strani. Sostaven del od dogovorot treba da bide i soglas-nosta me| u dvete strani za orga-nizaciskite i tehni~ kite merki { to gi primenuva dogovorniot obrabotuva~ . Site vraboteni kaj dogovorniot obrabotuva~ koi } e

rabotat so podatocite treba da se informiraat za nivnite ob-vrski za za{ tita na li~ nite po-datoci. Na primer, personalot za obezbeduvawe kaj dogovorniot obrabotuva~ na videonadzor vo ime na kontrolorot (na primer, ministerstvoto) mora vo sekoe vreme da bide svesen { to mo` e, a { to ne mo` e da stori so snim-kite od videonadzorot. Ako pra-vi lata ne se jasni i ako ne im se jasno izlo` eni na vrabotenite kaj dogovorniot obrabotuva~ , go-lema e mo` nosta da dojde do pre-kr { uvawe na tajnosta na li~ nite po datoci.

| 17 |


EVIDENtIRAwE I ^uVAwE NA DOkumENtAcIjAzA SOftVERSkI PROGRAmI

^len 8 kontrolorot treba da ja evidentira i da ja ~ uva celokupnata dokumentacija za softverskite programi za obrabotka na li~ nite podatoci i za site negovi promeni.

So ogled na toa deka denes kompjuterite obrabotuvaat ogro-men obem li~ ni podatoci, va` no e jasno da se sledi kako funkcioni-ra softverot { to gi obrabotuva li~ nite podatoci. Pokraj ova, i izmenite vo softverot treba dobro da se dokumentiraat. Neja-snata ili nea` urirana dokumen-tacija za upravuvaweto so soft-verot mo` e da dovede do rasipu-vawe na podatocite, izleguvawe, zloupotreba, pa duri i do gubewe na podatocite.

Tenderskite proceduri za soft verot treba dobro da se do-ku mentiraat, a istoto va` i i za teh ni~ kata dokumentacija { to ja obez beduva (ili treba da ja obez-bedi) izrabotuva~ ot na softve-rot iznajmen za konkretni soft-verski re{ enija. Site natamo{ ni izmeni na softverot treba da se dokumentiraat za da se spre~ i neo~ ekuvano odnesuvawe na sis-temot i da se olesnat proceduri-te za povtorno vra} awe.

Sovet za malite kontrolori

Malite kontrolori, koi glav-no se potpiraat na { iroko upo-trebuvanite alati za obrabotka na li~ nite podatoci (na primer, Microsoft Office, OpenOffice.org ili drug dobro poznat softver za kancelarisko rabotewe) treba posebno da vnimavaat na prime-nata na site za{ titni popravki i nadgradbi. Pri kupuvaweto soft-ver sekoga{ se prepora~ uva da se pro~ itaat kritikite od klienti-te koi ve} e go kupile proizvodot i da se potpirate na softver { to voobi~ aeno se koristi vo dejno-sta na kontrolorot. Zapomnete deka treba da gi koristite funk-ciite za sledewe na promenite kaj voobi~ aenite softveri za kancelarisko rabotewe, na pri-mer Excel ili Access (vidi i pri-mer pod ~ lenot 17).

| Prira^ nik |

| 18 |

Odr` uvaweto na infor ma ci-ski te sistemi e u{ te edna mo` nost za napad ili za gubewe, vo smisla na sigurnosta na li~ nite podato-ci. Zatoa, ~ lenot 9 ureduva deka i pravnite i fizi~ kite lica treba da gi primenuvaat odredbite za sigurnost, bez ogled na toa dali rabotat za kontrolorot, di rektno ili ne. Toa e osobeno va` no koga odr` uvaweto na informaciskiot sistem (bazata na podatoci, ser-vi sot, aplikacijata ili drugi de-lovi od informaciskiot sistem) go vr{ at lica koi ne se vrabote-ni kaj kontrolorot, { to e ~ est slu~ aj. Sli~ no na odredbite od pret hod niot ~ len, tie lica tre-ba da se pridr` uvaat do strogi-te pra vila i merki za tajnost na li~ nite podatoci.

Ako odr` uvaweto na infor-maciskiot sistem (ili na del od nego) se dava pod dogovor, dobro e da se primenat preporakite od prethodniot ~ len: pismen dogo-vor (voobi~ aeno nare~ en Dogo-vor za servisirawe) so konkret-ni i jasni potrebni pravila za sigurnost na podatocite.


Malite kontrolori obi~ no se potpiraat na dogovorni informati~ ki uslugi bidej} i nim im e skapo da imaat sopst-ven informati~ ki personal. Pri izborot na davatelite na infor-mati~ ki uslugi (na primer, za informati~ ko odr` uvawe ili slu` ba za pomo{ ) sekoga{ pro-veruvajte ja nivnata reputacija

ODR@ uVAwE NA INfORmAcISkIOt SIStEm

^len 9 (1) fizi~ kite ili pravnite lica koi vr{ at odr` uvawe na informaciskiot sistem na kontrolorot treba da gi primenuvaat propisite za za{ tita na li~ nite podatoci i donesenata dokumentacija za tehni~ ki i organizaciski merki.

(2) Odredbite od stavot (1) na ovoj ~ len se primenuvaat i ako fizi~ kite ili pravnite lica vr{ at obrabotka na li~ nite podatoci na kontrolorot.

| 19 |


i, vo sekoj slu~ aj, imajte pismen dogovor so davatelot na uslugite. Isto taka, pogri` ete se za toa i davatelot na informati~ ki uslu-gi da bide potpolno svesen deka i toj treba da gi za{ titi li~ nite informacii do koi mo` e da ima

pristap i deka treba celosno da gi po~ ituva va{ ite merki za za{ tita na podatocite. Va{ iot vnatre{ en akt za za{ tita na po-datocite treba da bide su{ tin-ski del od dogovorot so niv.

| Prira^ nik |

| 20 |

II. OSNOVNO NIVO NA tEhNI^ kI I ORGANIzAcISkI mERkI

DOkumENtAcIjA zA tEhNI^ kI I ORGANIzAcISkI mERkI

^len 10 (1) kontrolorot zadol` itelno donesuva i primenuva dokumentacija za tehni~ ki i organizaciski merki za korisnicite koi imaat pristap do li~ nite podatoci i do informaciskiot sistem.

(2) Dokumentacijata od stavot (1) na ovoj ~ len osobeno sodr` i: Plan za sozdavawe sistem na tehni~ ki i or

ganizaciski merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci;

Akt za tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci;

Pravila za opredeluvawe na obvrskite i odgovornostite na korisnicite pri koristewe na dokumentite i informati~ ko komunikaciskata oprema;

Pravila za prijavuvawe, reakcija i sanirawe na incidenti;

Pravila za na~ inot na pravewe na sigurnosna kopija, arhivirawe i ~ uvawe, kako i za povtorno vra} awe na za~ uvanite li~ ni podatoci;

Pravila za na~ inot na uni{ tuvawe na dokumentite, kako i za na~ inot na uni{ tuvawe, bri{ ewe i ~ istewe na mediumite.

(3) Dokumentacijata od stavot (2) na ovoj ~ len, kontrolorot vedna{ ja menuva i dopolnuva koga } e se napravat promeni vo organizacionata postavenost na informaciskiot sistem.

| 21 |

| II. Osnovno nivo na tehni~ ki i organizaciski merki |

^lenot 10 ja opi{ uva potreb-nata dokumentacija za tehni~ ki i organizaciski merki, koja{ to treba da postoi i na hartija i vo praktikata. Nakuso, dokumentaci-jata treba da sodr` i:

• Plan za voveduvawe sistem za upravuvawe so sigurnosta;

• Akt so opis na tehni~ kite i na organizaciskite merki za sigurnost na podatocite (vidi nasoki za ~ lenovite 11, 12, 13, 14, 18);

• Obvrski i odgovornosti na korisnicite (vidi nasoki za ~ lenot 15);

• Proceduri za upravuvawe so incidenti (vidi nasoki za ~ lenot 16);

• Politika na sigurnosni kopii / urgenten plan (vidi nasoki za ~ lenovite 21–22), i

• Politika za ~ istewe na me-diumite (vidi nasoki za ~ le-novite19–20).

^lenot 10(3) ureduva deka dokumentacijata treba da se a` u-rira i deka treba da gi odrazu-va izmenite vo informaciskite sistemi ili vo procedurite. Kontrolorite na podatoci treba da re{ at dali } e koristat hie-rarhija na dokumenti ili } e gi pokrijat potrebnite oblasti so eden dokument. Pri primenata na primerite so najdobri prakti-ki i prifatenite me| unarodni

standardi za informati~ ka si-gurnost, kako ISO/IEC 27001:2005, se prepora~ uva da se odi na hie-rarhiski pristap i da se pokriva sekoja tema oddelno. Generalno, potrebnata dokumentacija treba da gi pokriva barem oblastite opi{ ani vo slednive ~ lenovi 11–22 od Pravilnikot i oblasti-te koi ponatamu } e se pokrijat vo Prira~ nikot. Da gi pogled-neme prvite dve to~ ki. Prviot potreben dokument e plan za vo-veduvawe sistem za upravuvawe so sigurnosta. Planot treba da sodr` i definicija na opfatot na sistemot za upravuvawe so si-gurnosta (definicija na zbirki-te na li~ ni podatoci { to treba da se za{ titat) i na rezultatite od ocenkata na rizikot. Ovie dva elementa od planot treba da se odrazat vo vtoriot dokument – vnatre{ en akt so koj se defi-nira merkata { to } e se vovede za da se namalat ili da se svedat na minimum utvrdenite rizici. Na primer, planot treba, da go ut-vrdi rizikot od uni{ tuvawe na li~ nite podatoci i da definira merki za za{ tita od ovoj rizik (na primer, sigurnosni kopii na druga lokacija). Sodr` inata na aktot se propi{ uva vo ~ lenovite 11–22 i vklu~ uva tehni~ ki merki, organizaciski merki, kontrola na pristapot, upravuvawe so in-cidenti itn.

| Prira^ nik |

| 22 |

tEhNI^ kI mERkI

^len 11 kontrolorot treba da obezbedi soodvetni tehni~ ki merki za tajnost i za{ tita na obrabotkata na li~ nite podatoci i toa:

1. edinstveno korisni~ ko ime;2. lozinka kreirana od sekoj korisnik, so sta

vena od kombinacija na najmalku osum alfanumeri~ ki karakteri (od koi minimum edna golema bukva) i specijalni znaci;

3. korisni~ ko ime i lozinka koja ovozmo` uva pri stap na korisnikot do informaciskiot si s tem vo celina, na poedine~ ni aplikacii i/ili poedine~ ni zbirki na li~ ni podatoci potrebni za izvr{ uvawe na negovata rabota;

4. avtomatizirano odjavuvawe od informaciskiot sistem posle izminuvawe na opredelen period na neaktivnost (ne podolgo od 15 minuti) i za povtorno aktivirawe na sistemot potrebno e odnovo vnesuvawe na korisni~ koto ime i lozinkata;

5. avtomatizirano otfrlawe od informaciskiot sistem posle tri neuspe{ ni obidi za najavuvawe (vnesuvawe na pogre{ no korisni~ ko ime ili lozinka) i avtomatizirano izvestuvawe na korisnikot deka treba da se pobara instrukcija od administratorot na iniformaciskiot sistem;

6. instalirana hardverska/softverska za{ titna mre` na bariera (“fajervol”) ili ruter pome| u informaciskiot sistem i internet ili bilo koja druga forma na nadvore{ na mre` a, kako za{ titna merka protiv nedozvoleni ili zlonamerni obidi za vlez ili probivawe na sistemot;

7. efektivna i sigurna antivirusna i anti–spaj

| 23 |


^lenot 11 ureduva niza ne-op hodni tehni~ ki merki. Edin-st ve ni korisni~ ki imiwa zna~ i deka sekoj korisnik treba da ima svoe korisni~ ko ime, { to e osobeno va` no od aspekt na odgo-vornosta i ot~ etnosta. So grupni korisni~ ki imiwa ne mo` e da se obezbedi ot~ etnost, za{ to e mnogu pote{ ko zloupotrebata na li~ ni podatoci da mu se pripi{ e na edno lice. Kontrolorite koi primenuvaat nekakov sistem za upravuvawe so identitet (kako Active Directory) treba da gi ko-ristat funkciite na grupna poli-tika za da gi postavat uslovite dadeni vo ovoj ~ len (na primer, dol` ina i sostav na lozinkata).

Kontrolorot mo` e da koristi dobri praktiki pri generirawe-to lozinki, na primer da gi ima predvid slednive preporaki1:

1. Izbegnuvajte da koristite

1 Prilagodeno od: http://www.priva-cyrights.org/ar/alertstrongpasswords.htm

zbo rovi od re~ nik! Hakerite lesno gi probivaat tie lozin-ki so elektronski re~ nik.

2. Ne koristete li~ ni in for ma-cii! Koj bilo del od imeto, ro-den denot, mati~ niot broj ili sli~ ni informacii za bli ski-te se lo{ izbor za lo zin ka.

3. Izbegnuvajte voobi~ aeni sek-ven ci, kako posledovatelni broe vi ili bukvi („123”, „abv” ili povtoruvawe na broe vi ili bukvi („aaaa”)!

4. Pove} eto lozinki razlikuva-at golemi i mali bukvi, pa ko ristete kombinacija od go-le mi i mali bukvi, brojki i spe cijalni znaci, kako $, # i &.

5. Lozinkite pote{ ko se probi-va at dokolku imaat pove} e zna ci, pa zatoa podolgite lo-zi n ki se podobri od pokratki-te. Silen napad lesno mo` e da pro bie lozinka so sedum ili so pomalku znaci. Silata na lo zinkata mo` e da se proveri

ver za{ tita na informaciskiot sistem, koja postojano } e se a` urira zaradi preventiva od nepoznati i neplanirani zakani od novi virusi i spajver;

8. efektivna i sigurna antispam za{ tita, koja postojano } e se a` urira zaradi preventivna za{ tita od spamovi i

9. priklu~ uvawe na informaciskiot sistem (kompjuterite i serverite) na energetska mre` a preku ured za neprekinato napojuvawe.

| Prira^ nik |

| 24 |

na nekoi internet stranici, ka ko na primer:

www.microsoft.com/protect/yourself/password/checker.mspx

6. Za polesno da ja zapomnite lozinkata, napravete ja da bide od prvite bukvi na zborovite vo nekoja re~ enica, fraza ili ime na pesna! Vnimavajte da dodadete brojki i/ili posebni znaci.

7. Napravete posebni lozinki za razli~ ni profili i apli-ka cii! Ako vi probijat edna lozinka, drugite profili ne-ma da vi bidat izlo` eni na ri zik. Ne koristete ista ili varijacii od ista lozinka za razli~ ni aplikacii.

8. Razmislete za siguren sistem za pomnewe na lozinkite! Kri tiki za niv mo` e da naj-de te na: http://lifehacker.com/5042616/five-best-pas-sword-managers.

9. Ako ve} e imate slaba lozinka, promenete ja!

^lenot 11(3) ja naglasuva va` nosta na razli~ nite ko ris-ni~ ki imiwa za pristap do in-formaciskiot sistem i razni ap-likacii – voop{ to ne e bezbedno da se ima isto korisni~ ko ime za razli~ ni nameni. ^lenot 11(4) bara avtomatska odjava po izve-sen neaktiven period, ne podolg od 15 minuti. Avtomatskoto odja-

vuvawe (politika na ~ ist moni-tor) mo` e da se vovede so ~ uvar na ekranot (screensaver) ili pre-ku samata aplikacija, preku sis-tem za upravuvawe so identitetot ili preku samiot informaciski sistem. Treba da se napomene deka vo nekoi slu~ ai avtomatskoto odjavuvawe po 15 minuti mo` e da predizvika operativni problemi (pomislete na rabotno mesto vo slu` bata za itni slu~ ai), no se-koe otstapuvawe od ovoj princip treba da bide mo` no edinstveno ako toa e navistina neophodno za vr{ ewe na rabotnite zada~ i.


Korisnicite treba da znaat deka obi~ noto odjavuvawe e dob ra praktika koga se napu{ ta rabotnoto mesto ili kancelari-jata i deka toa se pravi lesno so CTRL+ALT+DEL i ENTER (ili WIN key+L).

I ograni~ uvaweto na brojot na neuspe{ ni obidi za najava vo sistemot e dobra sigurnos-na praktika (kako PIN broevi za bankomati). Kontrolorite bi tre-balo da vovedat procedura koja ureduva komu treba da mu se obra-ti korisnikot ako ima premnogu neuspe{ ni obidi za najava.

Merkite protiv spajver i vi-rusi se klu~ ni vo sovremenata informati~ ka za{ tita, no tie treba postojano da se a` uriraat

| 25 |


za da ponudat efektivna za{ tita od sigurnosnite zakani, kako { to se bara vo ~ lenot 11(7). Istoto va` i i za za{ titata od spamovi.

^lenot 11(9) ureduva deka kontrolorot treba da vovede nepre kinato snabduvawe so stru-ja (UPS), koe } e bide sekundaren mehanizam vo slu~ aj na prekin na snabduvaweto so struja (na pri-mer, poradi nevreme). Toa e ~ esta sigurnosna merka i e osnovna kaj pogolemite kontrolori, osobeno kaj kontrolorite so mnogu tran-

sakcii i barawa za dostapnost na podatoci (na primer, banki-te). Pomalite kontrolori (ma-lite i srednite pretprijatija) verojatno } e treba da investi-raat vo poekonomi~ ni re{ enija za UPS. Iako toa ne se spomnu-va vo ~ lenot 11, procedurite za spasuvawe i planiraweto za neprekinato rabotewe isto taka se prepora~ uvaat za pogolemite kontrolori i za kontrolorite koi obrabotuvaat mnogu ~ uvstvi-telni li~ ni podatoci.

| Prira^ nik |

| 26 |

ORGANIzAcISkI mERkI

^len 12 (1) kontrolorot treba da obezbedi soodvetni organizaciski merki za tajnost i za{ tita na obrabotkata na li~ nite podatoci i toa:

1. ograni~ en pristap ili identifikacija za pristap do li~ nite podatoci;

2. organizaciski pravila za pristap na korisnicite do internet koi se odnesuvaat na simnuvawe i snimawe na dokumenti prezemeni od elektronskata po{ ta i drugi izvori;

3. uni{ tuvawe na dokumenti po istekot na rokot za nivno ~ uvawe;

4. merki za fizi~ ka sigurnost na rabotnite prostorii i na informati~ ko komunikaciskata oprema kade { to se sobiraat, obrabotuvaat i ~ uvaat li~ nite podatoci i

5. po~ ituvawe na tehni~ kite upatstva pri instalirawe i koristewe na informati~ ko komunikaciskata oprema na koja se obrabotuvaat li~ nite podatoci.

(2) Vrabotenoto lice koe gi vr{ i rabotite za ~ ove~ ki resursi kaj kontrolorot, go izvestuva administratorot na informaciskiot sistem za vrabotuvaweto ili anga` iraweto na sekoj korisnik so pravo na pristap do informaciskiot sistem, za da mu bide dodeleno korisni~ ko ime i lozinka, kako i za prestanok na vrabotuvaweto ili anga` iraweto za da mu bidat izbri{ ani korisni~ koto ime i lozinkata, odnosno zaklu~ eni za natamo{ en pristap.

(3) Izvestuvaweto od stavot (2) na ovoj ~ len se vr{ i i pri bilo koi drugi promeni vo rabotniot status ili statusot na anga` iraweto na korisnikot { to ima vlijanie vrz nivoto na dozvoleniot pristap do informaciskiot sistem.

| 27 |


^lenot 12 se fokusira na or-ganizaciskite merki { to treba da gi pridru` uvaat tehni~ kite merki za sigurnost na li~ nite podatoci.

Pred sè, pristapot do li~ nite podatoci treba da bide ograni~ en i da se sledi. Koga dobivaat pris tap do li~ nite podatoci vo prostoriite na kontrolorite, licata koi ne se vraboteni kaj kontrolorite sekoga{ treba da bidat pridru` eni od vraboten. Kontrolorot treba da postavi jasni pravila za soodvetna upo-treba na internetot i da ja za-brani upotrebata na { tetni ili nelegalni internet stranici ili druga nesoodvetna aktivnost na internet. So ogled na sè po-golemata va` nost da se zadr` i izvesno nivo na privatnost na rabotnoto mesto, se prepora~ uva da se postavat jasni pravila za toa vo koja mera kancelariskata oprema (kompjuter, mobilni tele-foni, pristap do internet itn.) mo` e da se koristi za privatni celi. Rabotodava~ ite bi trebalo da se vozdr` at od politikite na op{ irna kontrola na vraboteni-te so obrabotka na nivnite li~ ni podatoci (na primer, sledewe na nivnite aktivnosti na internet). Organizaciskite merki treba da ja definiraat procedurata za uni{ tuvawe na dokumentite po istekot na periodot za ~ uvawe (na primer, zadol` itelna upotreba

na ma{ ini za se~ ewe hartija za hartieni dokumenti koi sodr` at li~ ni podatoci). Posebno vnima-nie treba da se posveti na kon-trolata na fizi~ kiot pristap, koja mo` e da vklu~ uva ~ uvari, magnetni karti~ ki, videonadzor ili drugi metodi na kontrola na fizi~ kiot pristap koi, sekako, treba da se vovedat vo soglasnost so soodvetnite pravni odredbi i ocenkata na rizikot. Koris-nicite treba da se predupredat da gi sledat tehni~ kite nasoki za instalacija i koristewe na informati~ kata oprema za obra-botka na li~ nite podatoci.

Kontrolorot treba da ja propi{ e procedurata so koja se davaat/ukinuvaat korisni~ kite prava. Pravilnikot ureduva deka procedurata bi trebalo da gi vklu~ uva { efot na Oddelenieto za ~ ove~ ki resursi i admini-stratorot za informatika.


Malite kontrolori koi nema-at takvi (posebni) oddelenija za ~ ove~ ki resursi ili infor-matika treba, vo najmala raka, da go podelat davaweto korisni~ ki privilegii od izvr{ uvaweto kaj razli~ ni lica. Davaweto/ukinu-vaweto na korisni~ kite prava treba da se a` urira i da gi sledi promenite vo rabotniot status (na primer, ako nekoj vraboten

| Prira^ nik |

| 28 |

go smeni rabotnoto mesto vo fir-mata, negovite korisni~ ki prava treba soodvetno da se promenat). Ne treba da se naglasuva deka dodeluvaweto korisni~ ki prava treba da odgovara na zada~ ite

{ to gi vr{ at vrabotenite (na pretstavnikot za proda` ba, na primer, ne mu treba pristap do li~ nite dosieja { to gi vodi Od-de lenieto za ~ ove~ ki resursi).

fIzI^ kA SIGuRNOSt NA INfORmAcISkIOt SIStEm

^len 13 (1) Serverite na koi se instalirani softverskite programi za obrabotka na li~ nite podatoci, treba da se fizi~ ki locirani, hostirani i administrirani od strana na kontrolorot.

(2) fizi~ ki pristap do prostorijata vo koja se smesteni serverite mo` e da imaat samo ovlasteni lica od kontrolorot.

(3) Dokolku e potreben pristap na drugo lice do prostorijata i li~ nite podatoci za~ uvani na serverite, toga{ toa lice treba da bide pridru` uvano i nadgleduvano od ovlasteno lice od stavot (2) na ovoj ~ len.

(4) Prostorijata vo koja se smesteni serverite se za{ tituva od rizicite vo opkru` uvaweto preku primeni na merki i kontroli so koi se namaluva rizikot od potencijalni zakani vklu~ uvaj} i kra` ba, po` ar, eksplozii, ~ ad, voda, pra{ ina, vibracii, hemiski vlijanija, pre~ ki vo snabduvaweto so elektri~ na energija i elektromagnetno zra~ ewe.

| 29 |


^lenot 13 mo` e da se poka` e kako te` ok za sproveduvawe za nekoi kontrolori koi ne odat na hostirawe na internet i server, { to e dosta ~ esta pojava. ^lenot 13(1) treba da se tolkuva na toj na~ in { to vo sekoj slu~ aj pros-toriite so serveri treba dobro da se za{ titat, bez ogled na toa dali se nao| aat vo prostoriite na kontrolorot ili ne. Ako kon-trolorot re{ i da ja dade ovaa funkcija pod dogovor, toga{ toj e odgovoren negoviot dogo-voren partner isto taka da gi primenuva merkite za fizi~ ka bezbednost na svoite prostorii so serveri. Pristapot do pros-toriite so serveri treba strogo da se ograni~ i i da se sledi (se-koe vleguvawe vo prostoriite so serveri treba da se zapi{ uva, i toa so ime i pre zi me na licata

koi vleguvaat, datumot, vremeto i pri~ inata za vleguvaweto). Sli~ no kako i vo ~ lenot 12, na licata koi ne se vraboteni kaj kontrolorot (na primer, licata koi se zadol` eni za odr` uvawe na klima-uredite ili drug per-sonal za odr` uvawe) treba da im se dozvoli vlez vo prosto-riite so serveri edinstve no vo pridru` ba na vraboten i treba da bidat pod nadzor vo sekoj mo-ment dodeka se vo prostoriite so serveri. Prostorii te so serveri treba dobro da se za{ titat i od prirodni rizici, na primer od toplina, poplava, po` ar i dr., na-vedeni vo ~ lenot 13(4). Sekoga{ e va` no sigurnosnite merki da se prisposobat na novite hard-verski instalacii (serveri itn.) koi mo` ebi baraat pointenziven sistem za ladewe.

| Prira^ nik |

| 30 |

INfORmIRAwE zA zA[ tItAtA NA LI^ NItE PODAtOcI

^len 14 (1) Licata koi se vrabotuvaat ili se anga` iraat kaj kontrolorot, pred nivnoto otpo~ nuvawe so rabota se zapoznavaat so propisite za za{ tita na li~ nite podatoci, kako i so donesenata dokumentacija za tehni~ ki i organizaciski merki.

(2) za licata koi se anga` iraat za izvr{ uvawe na rabota kaj kontrolorot vo dogovorot za nivnoto anga` irawe se naveduvaat obvrskite i odgovornostite za za{ tita na li~ nite podatoci.

(3) kontrolorot pred neposrednoto zapo~ nuvawe so rabota na korisnicite, dopolnitelno gi informira za neposrednite obvrski i odgovornosti za za{ tita na li~ nite podatoci.

(4) Licata koi se vrabotuvaat ili se anga` iraat kaj kontrolorot, pred nivnoto otpo~ nuvawe so rabota svoera~ no potpi{ uvaat izjava za tajnost i za{ tita na obrabotkata na li~ nite podatoci.

(5) Izjavata od stavot (4) na ovoj ~ len osobeno sodr` i: deka licata } e gi po~ ituvaat na~ elata za za{ tita na li~ nite podatoci pred nivniot pristap do li~ nite podatoci; } e vr{ at obrabotka na li~ nite podatoci soglasno upatstva ta dobieni od kontrolorot, osven ako so zakon poinaku ne e uredeno i } e gi ~ uvaat kako doverlivi li~ nite podatoci, kako i merkite za nivna za{ tita.

(6) Izjavata od stavot (4) na ovoj ~ len zadol` itelno se ~ uva vo dosiejata na licata koi se vrabotuvaat ili se anga` iraat kaj kontrolorot.

| 31 |


^lenot 14 e eden od najva` nite za{ to tehni~ kite i organiza-ciskite sigurnosni merki mo` at da bidat efektivni edinstveno ako korisnicite se svesni za svoite obvrski i odgovornosti za za{ titata na li~ nite poda-toci. Ne e tolku nezamisliva situacijata, korisnicite kaj kon-trolorot da mislat deka dokolku imaat (oficijalen) pristap do li~ nite podatoci, imaat dozvola za sè. Korisnicite treba da znaat deka duri i pristapot ili uvidot vo podatoci bara pravna osnova –qubopitnost ili pravewe uslu-gi za drugi ne se dozvoleni.

Zatoa, site vraboteni treba da se zapoznaat so odredbite od ZZLP i tie treba da bidat del od nivnite dogovori so rabotodava~ ot. Vo zavisnost od negovite zada~ i i odgovornosti, kontrolorot treba dopolnitelno da gi informira za vovedenite sigurnosni merki za podatoci-te i za site drugi va` ni odgo-

vornosti. Administratorite za informatika, na primer, koi obi~ no imaat mnogu { irok pri-stap do ogromen obem li~ ni po-datoci, treba da dobijat mo{ ne jasni upatstva i obuka za ram-kite na nivnite prava i slu~ aite koga mo` e da gi prekr{ at odred-bite od ZZLP. Vrabotenite koi obrabotuvaat li~ ni podatoci tre-ba da potpi{ at izjava deka } e gi po~ ituvaat propisite za za{ tita na li~ nite podatoci, deka } e gi sledat upatstvata na kontrolorot za obrabotka na li~ nite podato-ci i deka } e ja ~ uvaat tajnosta na li~ nite podatoci, osven ako ne e poinaku uredeno so zakon. Taa iz-java se ~ uva vo li~ noto dosie na vraboteniot.

Proaktivniot pristap za in-formirawe na korisnicite za odgovornostite podrazbira i obuka za socijalno in` enersko planirawe (prepoznavawe i od-brana od takvi napadi).

| Prira^ nik |

| 32 |

ObVRSkI I ODGOVORNOStI NA kORISNIcItE

^len 15 (1) Obvrskite i odgovornostite na sekoj korisnik koj ima pristap do li~ nite podatoci i do informaciskiot sistem, kontrolorot gi definira i utvrduva vo Pravilata za opredeluvawe na obvrskite i odgovornostite na korisnicite pri koristewe na dokumentite i informati~ ko komunikaciskata oprema.

(2) kontrolorot zadol` itelno gi informira korisnicite od stavot (1) na ovoj ~ len so dokumentacijata za tehni~ ki i organizaciski merki koi se odnesuvaat na izvr{ uvaweto na nivnite obvrski i odgovornosti.

Kako { to e uredeno vo ~ le-not 10, kontrolorot treba da gi definira obvrskite i odgo-vornostite na korisnicite koi imaat pristap do li~ nite poda-toci. Korisnicite treba dobro da se informiraat za tehni~ kite i organizaciskite merki rele-vantni za nivnata pozicija kaj kontrolorot.

Iako ~ lenot 15(1) se odnesuva na „sekoj” korisnik, odgovornos-tite i obvrskite mo` at da se ut-vrdat i za grupi korisnici, pod uslov tie da imaat isti ili mnogu sli~ ni zada~ i i odgovornosti

(na primer, grupa vraboteni vo Oddelenieto za ~ ove~ ki resursi, dodeka nivniot { ef mo` e da ima postrogi odgovornosti, vo soglasnost so negovite zada~ i). Korisnicite vo Oddelenieto za ~ ove~ ki resursi, na primer, treba da bidat svesni za vove-denite tehni~ ki i organizaciski merki koi gi { titat tajnosta i sigurnosta na li~ nite podatoci sodr` ani vo dosiejata na vrabo-tenite, kako i drugite li~ ni po-datoci { to se obrabotuvaat vo nivnoto oddelenie.

| 33 |


EVIDENtIRAwE NA INcIDENtI

^len 16 Vo Pravilata za prijavuvawe, reakcija i sanirawe na incidenti, kontrolorot go opredeluva na~ inot na evidentirawe na sekoj incident, vremeto koga se pojavil, korisnikot koj go prijavil, na kogo e prijaven i merkite koi se preze meni za negovo sanirawe.

^lenot 16 bara podgotovka na t.n. proceduri za upravuvawe so incidenti. Kontrolorot treba da propi{ e procedura kako da se reagira pri pojava na incident so koj se zagrozeni li~ nite poda-toci. Toa mo` e da se napravi, na primer, preku elektronska po{ ta do posebni elektronski adresi za taa cel. Treba da se nazna~ i lice koe } e bide odgovorno za izvestuvawe, koe } e gi dokumen-tira incidentite i } e re{ ava za merkite { to treba da se prezemat za da se ograni~ at efektite ili da se spre~ i druga takva pojava ili incident. Preciznata evi-dencija na utvrdenite incidenti e od osobeno zna~ ewe za uspe{ no spravuvawe so incidentite vo idnina.


Eden od vrabotenite treba da bide specijalno obu~ en za za{- t i ta na li~ ni podatoci i treba da bide odgovoren za upravuvawe so incidenti. Odberete vraboten so dovolno znaewe, motivacija i, pred sè, so ~ uvstvo za odgovor-nost i posvetenost.

| Prira^ nik |

| 34 |

IDENtIfIkAcIjA I PROVERkA

^len 17 (1) kontrolorot zadol` itelno vodi evidencija za korisnicite koi imaat avtoriziran pristap do dokumentite i informaciskiot sistem, kako i vospostavuva postapki za identifikacija i proverka na avtoriziraniot pristap.

(2) koga proverkata se vr{ i vrz osnova na korisni~ ko ime i lozinka, kontrolorot sekoga{ gi primenuva pravilata koi ja garantiraat nivnata doverlivost i integritet pri prijavuvawe, dodeluvawe i ~ uvawe na istite.

(3) Lozinkite treba avtomatski da se menuvaat po izminat vremenski period { to ne mo` e da bide podolg od tri meseci utvrden vo Aktot za tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci, kako i da se ~ uvaat za{ titeni so soodvetni metodi, taka { to nema da bidat razbirlivi dodeka se validni.

Za kontrolorot e od is klu ~ i -telna va` nost da ovozmo` i po -docne` no utvrduvawe koga se vne-seni individualnite li~ ni poda-toci vo zbirkata, ko ga se koriste-le ili poinaku se ob rabotile i koj go storil toa. Kon trolorot treba da gi ~ u va t.n. tra gi za sledewe, koi ovoz mo ̀ u va at so li~ nite po-datoci da se utvr dat korisnikot i negovite ak tivnosti. So cel da se spre~ i zlo upotrebata na li~ nite poda to ci, od su{ tinsko zna~ ewe e kon trolorot:

1. da znae koj ima pristap do li~ nite podatoci (prava na pristap), i

2. da znae to~ no koj pristapil do koi podatoci i koga (tragi za sledewe ili zapisi).

Ako kontrolorot ima vovede-no samo prava na pristapuvawe, no ne i tragi za sledewe, nema da mo` e da se utvrdi dali li~ nite podatoci se koristele so neso-odvetna pri~ ina i koj e odgovo-ren za toa.

| 35 |



Najgolem del od zbirkite na podatoci kaj malite kontrolori se vo obi~ ni formati, kako Excel, Word, Access ili drugi sli~ ni slo bodni formati (kako Open Office.org). Pove} eto od ovie kan-celariski aplikacii nudat pri-stojni tragi za sledewe, { to im ovozmo` uvaat na kontrolorite da vidat koga e vnesen nekoj li-~ en podatok vo zbirkata, koga e izmenet ili izbri{ an. Tie zapi-si mo` ebi ne go registriraat se koj pristap do podatocite (na

primer, pristap bez izmeni), no se registrira sekoja izmena, a` u-rirawe ili bri{ ewe na podato-cite. Registriraweto mo` e da se vklu~ i so opciite za sledewe na promenite i za{ tita na dokumen-tite vo voobi~ aenite softveri za kancelarisko rabotewe (vidi primer podolu). Primerot poka-` uva koj ja izvel koja operacija na li~ nite podatoci, a sledeweto na promenite mo` e da se za{ titi so lozinki, za da se spre~ at po-docne` ni promeni.

Dijagram 2: Tragi za sledewe vo obi~ en softver za tabeli

| 36 |

| Prira~ nik za prakti~ no sproveduvawe |

kONtROLA NA PRIStAPOt

^len 18 (1) korisnicite zadol` itelno imaat avtoriziran pristap samo do li~ nite podatoci i infor mati~ ko komunikaciskata oprema koi se ne ophodni za izvr{ uvawe na nivnite rabotni zada~ i.

(2) kontrolorot vospostavuva mehanizmi za da se onevozmo` i pristap na korisnicite do li~ nite podatoci i informati~ ko komunikaciskata oprema so prava razli~ ni od tie za koi se avtorizirani.

(3) Vo evidencijata na korisnicite utvrdena vo ~ len 17 stav (1) na ovoj pravilnik se vnesuvaat i nivoata na avtoriziran pristap za sekoj korisnik.

(4) Administratorot na informaciskiot sistem koj e ovlasten so Aktot za tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci mo` e da dodeluva, menuva ili da go odzema avtoriziraniot pristap do li~ nite podatoci i informati~ ko komunikaciskata oprema samo vo soglasnost so kriteriumite koi se utvrdeni od strana na kontrolorot.

| 37 |


Korisnicite koi obrabotu-vaat li~ ni podatoci treba da imaat pristap edinstveno do onie li~ ni podatoci { to im se neophodni za vr{ ewe na rabot-nite zada~ i. Vo informati~ kiot sistem treba da ima mehanizmi koi upravuvaat so korisni~ kite prava i na toj na~ in spre~ uvaat da dojde do zloupotreba na korisni~ kite prava. Dodelu-vaweto na korisni~ kite prava bi trebalo da se vr{ i spored priro-data na rabotata na korisnikot. Na primer, smetkovoditelot vo bolnica ne treba da ima pristap do medicinskite dosieja na pa-

cientite. Sekako, mnogu e va` no da imate informati~ ki admini-stratori koi u` ivaat potpolna doverba od kontrolorot i se sose-ma svesni deka voobi~ aeno imaat mnogu { iroki prava na pristap poradi prirodata na nivnata rabota. Kontrolorot, sepak, tre-ba da gi ograni~ i proizvolnite aktivnosti na informati~ kite administratori, vo pogled na upravuvaweto so korisni~ kite prava – informati~ kite admini-stratori treba da gi sledat upat-stvata na kontrolorot, a ne da dejstvuvaat na svoja raka.

| Prira^ nik |

| 38 |

uPRAVuVAwE SO mEDIumI

^len 19 (1) So mediumite treba da se ovozmo` i identifika cija i evidentirawe na kategoriite na li~ ni podatoci i istite treba da se ~ uvaat na loka cija do koja pristap imaat samo ovlasteni te ko risnici utvrdeni vo Aktot za tehni~ kite i or ganizaciskite merki za obezbeduvawe taj no st i za{ tita na obrabotkata na li~ nite podato ci.

(2) Prenesuvaweto na mediumite nadvor od rabotnite prostorii se vr{ i samo so prethodno pismeno ovlastuvawe od strana na kontrolorot.

Kontrolorot treba da ima po-pis na stati~ nite i mobilnite mediumi { to sodr` at identifi-kacija na kategoriite podatoci za~ uvani na niv. I samite mediu-mi i informaciite za kategorii-te na podatocite za~ uvani na niv treba da se za{ titat od neovla-sten pristap, namerno ili nena-merno gubewe ili o{ tetuvawe. Koga mediumite se prenesuvaat nadvor od prostoriite na kon-trolorot, za toa e potrebno pret-hodno pismeno ovlastuvawe od kontrolorot. Kontrolorot treba da vnimava na sigurnosta na me-diumite vo tekot na prenosot. Na primer, dokolku se prenesuvaat na prenoslivi mediumi (USB, CD/DVD, itn.), li~ nite podatoci tre-ba da se za{titat so lozinka ili da se kriptiraat za da se spre~i

neovlasten pristap do niv. Mali-te prenoslivi mediumi lesno se gubat, a vo dene{ no vreme mo` e da sodr` at ogromni koli~ estva li~ ni podatoci, pa zatoa za{ ti-tata so lozinka ili kriptirawe (vo zavisnost od ~ uvstvitelnosta na podatocite) e mnogu va` na si-gurnosna merka.


Na internet ima nekoi bes-platni alatki za za{ tita so lo-zinka i kriptirawe. Videte gi, na primer slednive:

• http://passwordsafe.source forge.net/

• http://www.truecrypt.org/.

Ovie alatki mo` at da se koris-tat za da se za{ titat prenoslivi-te mediumi, kako, na primer, kriptirawe na celoto USB.

| 39 |


uNI[ tuVAwE, bRI[ EwE ILI ^ IStEwE NA mEDIumOt

^len 20 (1) Po prenesuvaweto na li~ nite podatoci od mediumot ili po istekot na opredeleniot rok za ~ uvawe, mediumot treba da se uni{ ti, izbri{ e ili da se is~ isti od li~ nite podatoci snimeni na nego.

(2) uni{ tuvaweto na mediumot se vr{ i so mehani~ ko razdeluvawe na negovite sostavni delovi, pri { to istiot povtorno da ne mo` e da bide upotrebliv.

(3) bri{ eweto ili ~ isteweto na mediumot treba da se izvr{ i na na~ in { to } e onevozmo` i ponatamo{ no obnovuvawe na snimenite li~ ni podatoci.

(4) za slu~ aite od stavovite (2) i (3) na ovoj ~ len se sostavuva zapisnik, koj gi sodr` i site podatoci za celosna identifikacija na mediumot, kako i za kategoriite na li~ ni podatoci snimeni na istiot.

Mediumite koi sodr` at li~ ni podatoci treba soodvetno da se bri{ at ili da se uni{ tat so cel da se spre~ i podocne` no izvle-kuvawe na li~ nite podatoci od mediumite. ^est problem e i nesigurnata za{ tita, zatoa { to hard-diskovite ne se uni{ tuvaat ili bri{ at soodvetno, pa neo-vlasteni lica mo` at da gi izvle~ at podatocite { to bile za~ uvani na tie diskovi. ^esta e zabludata kaj korisnicite deka bri{ eweto na dokumentite ili formatiraweto na hard-diskot

zasekoga{ gi bri{ e podatocite od diskovite. Bri{ eweto poda-toci za~ uvani na hard-diskovite treba da se izvede na toj na~ in { to vrz diskovite nekolkupati se ispi{ uvaat neodredeni nizi nuli i edinici. Standardot na Ministerstvoto za odbrana na SAD (DoD, 522.22M), na pri-mer, propi{ uva sedumkratno ispi{ uvawe vrz podatocite.

Dokolku podatocite ne mo` at da se izbri{ at (na primer, od nepromenlivi mediumi), za da se spre~ i da dojde do rekonstruk-

| Prira^ nik |

| 40 |

cija na podatocite mediumite treba fizi~ ki da se uni{ tat. Ima pove} e firmi koi nudat si-gurno uni{ tuvawe na mediumite so dokumentirana postapka i za-pisnik od uni{ tuvaweto, koi se obvrzni spored ~ lenot 20(4) od

Pravilnikot. Zapisnikot treba da sodr` i informacii za me-diumot (na primer, seriski broj, tip, golemina) i informacii za kategoriite li~ ni podatoci { to se uni{ tile.

| 41 |


SIGuRNOSNI kOPII I POVtORNO VRA]AwE NA zA^ uVANItE LI^NI PODAtOcI

^len 21 (1) kontrolorot e odgovoren za proverka na primenata na Pravilata za na~ inot na pravewe na sigurnosna kopija, arhivirawe i ~ uvawe, kako i za povtornoto vra} awe na za~ uvanite li~ ni podatoci.

(2) Vo Pravilata od stavot (1) na ovoj ~ len, zadol` itelno treba da se sodr` ani postapkite za rekonstruirawe na li~ nite podatoci vo sostojba vo koja bile pred da bidat izgubeni ili uni{ teni.

(3) Sigurnosni kopii zadol` itelno se pravat sekoj raboten den, na krajot od rabotnata sedmica i sekoj posleden raboten den vo mesecot.

Poedincite ~ ii{ to li~ ni po-da toci – namerno ili nenamer-no – se uni{ teni ili zagubeni, mo ̀ at da pretrpat seriozni po-sle dici, dodeka kontrolorot, od druga strana, mo` e da se so o~ i so seriozni { teti vo oblik na gubewe na doverbata ili pro pa-| awe na biznisot, kako i kaz ni za nepridr` uvawe do ZZLP. Zamis-lete si { to bi se slu~ ilo, na primer, koga edna bolnica bi gi izgubila podatocite za pa ci en-tite, koga edna banka bi gi iz gu-bila registrite so podatoci ili koga toa bi $ se slu~ ilo na ne koja mala firma, koja vo celost zavi-si od li~ ni podatoci (na primer,

marketin{ ki centar za povici). Zatoa, sigurnosnite ko pii na li~ nite podatoci ili mediumite koi sodr` at li~ ni podatoci se mnogu va` ni i procedurite tre-ba besprekorno da se opi{ at vo spomenatiot plan za neprekinato rabotewe (vidi vo ~ lenot 10). Politikata, me| u drugoto, treba da sodr` i i opis na:

• za~ estenosta na izrabotkata na sigurnosnite kopii (spo-red ~ lenot 21(4));

• mestoto kade { to se ~ uvaat sigurnosnite kopii;

• procedurata kako se izrabo-tuvaat sigurnosnite kopii i

| Prira^ nik |

| 42 |

kako se prenesuvaat do mesto-to na ~ uvawe, i

• merkite i procedurite { to se pre zemaat vo slu~ aj na gube-we na originalnite podatoci (pro cedura za vra} awe na po-d a tocite).


Koristete prenoslivi me diu-mi za ednokratno snimawe (na

pri mer CD-R i DVD-R mediumi) i kriptirajte ja sodr` inata so bes-pla ten softver. Ne zaboravajte da gi ~ uvate sigurnosnite kopii na druga lokacija i obezbedeni od mo` ni manipulacii ili dru gi opasnosti, kako po` ari ili poplavi. Se prepora~ uva da investirate vo ognootporen { kaf. I ne zaboravajte redovno da pravite sigurnosni kopii!

| 43 |


NA^ IN NA ^ uVAwE NA SIGuRNOSNItE kOPII

^len 22 (1) Sigurnosnite kopii se ~ uvaat vo prostorija koja se nao| a nadvor od objektot vo koj e smesten informaciskiot sistem.

(2) Sigurnosnite kopii treba da se fizi~ ki i kriptografski za{ titeni, zaradi onevozmo` uvawe na kakva bilo modifikacija.

Sekoga{ ~ uvajte gi sigurnosni-te kopii na lokacija { to se raz-li kuva od lokacijata na ori gi -nalnite podatoci. Nesre} en slu-~ aj, kako po` ar ili poplava, mo-` e da gi uni{ ti i originalnite i sigurnosnite podatoci, dokolku se smesteni na istoto mesto. Si-gur nosnite kopii treba da se ~ uvaat na sigurna lokacija (na pri mer, vo zaklu~ en ognootporen { kaf). Podatocite so osnovno ni-vo na za{ tita ne mora da se ~ uva-at na druga lokacija (nadvor od objektot na kontrolorot), ne{ to { to se bara za tehni~ kite i or-ganizaciskite merki od sredno i od visoko nivo.

Pokraj fizi~ kata za{ tita, vo ~ lenot 22(2) se bara kriptograf-ski da se za{ titat i sigurnosni-te kopii. Pogolemite kontrolori verojatno ve} e imaat vovedeno sigurnosen softver so kripto-grafska za{ tita.


Malite kontrolori } e treba da se potprat na drugi re{ enija. Truecrypt2 e primer na bespla-ten softver za kriptografska za{ tita, koj mo` e efikasno da se koristi na sigurnosnite ko-pii, kako i drugite mediumi { to sodr` at li~ ni podatoci.

2 www.truecrypt.org

| Prira^ nik |

| 44 |

III. SREDNO NIVO NA tEhNI^kI I ORGANIzAcISkI mERkI

DOPOLNItELNI PRAVILA zA tEhNI^ kI I ORGANIzAcISkI mERkI

^len 23 Vo dokumentacijata za tehni~ ki i organizaciski merki utvrdena vo ~ len 10 od ovoj pravilnik, zadol` itelno treba da se sodr` ani postapkite za ovlastuvawe na odgovorno lice za za{ tita na li~ nite podatoci, za vr{ ewe periodi~ ni kontroli, zaradi sledewe na usoglasenosta na raboteweto na kontrolorot so propisite za za{ tita na li~ nite podatoci i so donesenata dokumentacija za tehni~ ki i organizaciski merki, kako i za merkite koi treba da se prezemat pri koristewe na mediumite.

Srednoto nivo na tehni~ ki i or ganizaciski merki bara povi-sok stepen na za{ tita na podato-ci te, { to mo ̀ e da se postigne so nazna~ uvawe odgovorno lice za za{ tita i tajnost na li~ nite po da-toci. Institutot Odgovorno li ce za za{ tita na li~ nite podato ci/Odgovorno lice za usoglasenost (Chief Data Protection Officer/Chief Com pliance Officer) se poka ̀ al kak o funkcionalen vo nekoi drugi zem ji (na primer, vo Germanija3,

3 Bundesdatenschutzgesetz (BDSG), 15.11. 2006, see Article 4(f) (Sojuzen zakon za za{ tita na podatoci od 15.11.2006 godi-

Obe di netoto Kralstvo4 i vo Bel-gija5). Zatoa, ~ lenot 23 go pred vi -duva uslo vot procedurata za na-zna ~ uvawe na takvo odgovorno li-ce da ja propi{ uva kontrolorot vo do kumentacijata uredena so ~ lenot 10 od Pravilnikot. Odgovornoto

na, vidi ~ len 4 (f))4 Data Protection Act 1998 (Zakon za za{ tita na podatoci od 1998 g.)5 Belgian Law on the protection of privacy in relation to the processing of personal da ta (Belgian Official Journal, 18.03.1993) (Belgiski zakon za za{ tita na privatno-sta pri obrabotkata na li~ ni podatoci (bel giski Slu` ben vesnik od 18.3.1993 go dina)

| 45 |

| III. Sredno nivo na tehni~ki i organizaciski merki |

li ce za za{ tita na podatocite/Od govornoto lice za usoglasenost tre ba da bide lice od doverba, po mo` nost so kombinacija od prav-ni i tehni~ ki znaewa, a se pre-po ra~ uva i revizorsko iskustvo.

Od redbite treba da ja pokrijat i periodi~ nata proverka na ob ra-bot kata na li~ nite podatoci od stra na na kontrolorot, vo odnos na toa dali se pridr` uva do uslovite od ZZLP i Pravilnikot.

ODGOVORNO LIcE zA zA[tItA NA LI^ NItE PODAtOcI

^len 24 kontrolorot zadol` itelno ovlastuva edno ili pove} e lica za za{ tita na li~ nite podatoci koi } e bidat odgovorni za koordinacija i kontrola na postapkite i upatstvata utvrdeni vo dokumentacijata za tehni~ kite i organizaciskite merki.

Kontrolorot ima obvrska da nazna~ i i da ovlasti edno ili pove} e lica koi } e bi-dat odgovorni za koordinacija i kontrola na procedurite i odredbite utvrdeni vo doku-mentacijata za tehni~ kite i or-ganizaciskite merki. Za da gi postigne o~ ekuvanite rezultati, institutot Odgovorno lice za za{ tita na li~ nite podatoci/Odgovorno lice za usoglasenost

treba da ja u` iva doverbata na kontrolorot, no i da ima mo` nost da se za{ titi vo odnos na drugite vraboteni i samiot kontrolor. Ne e nevoobi~ aeno odgovornite lica za za{ tita na podatocite da raportiraat so naodite za ut-vrdenite incidenti i prekr{ oci, a tokmu toa e pri~ inata zo{ to im e potrebna celosna poddr{ ka od strana na upravata.

| Prira^ nik |

| 46 |

kONtROLA NA INfORmAcISkIOt SIStEm I NA INfORmAtI^ kAtA INfRAStRuktuRA

^len 25 (1) Informaciskiot sistem i informati~ kata in frastruktura na kontrolorot zadol` itelno pod le` at na vnatre{ na i nadvore{ na kontrola so cel da se proveri dali postapkite i upat stvata sodr` ani vo dokumentacijata za tehni~ ki i organizaciski merki se primenuvaat i se vo soglasnost so propisite za za{ tita na li~ nite podatoci.

(2) kontrolorot vr{ i nadvore{ na kontrola na informaciskiot sistem i informati~ kata infrastruktura na sekoi tri godini, a vnatre{ na kontrola sekoja godina.

(3) Nadvore{ nata kontrola od stav (1) na ovoj ~ len se vr{ i preku obrabotka na dokumenti od strana na nezavisno treto lice.

(4) Vo izve{ tajot od izvr{ enata kontrola od stavot (1) na ovoj ~ len zadol` itelno treba da ima mislewe za toa vo kolkava mera postapkite i upatstvata sodr` ani vo dokumentacijata za tehni~ ki i organizaciski merki se primenuvaat i se vo soglasnost so propisite za za{ tita na li~ nite podatoci, da se navedeni konstatiranite nedostatoci, kako i predlo` enite neophod ni korektivni ili dopolnitelni merki za nivno otstranuvawe.

(5) Vo izve{ tajot od stavot (4) na ovoj ~ len treba da se sodr` ani i podatocite i faktite vrz osnova na koi e izgotveno misleweto i se predlo` eni merkite za otstranuvawe na konstatiranite nedostatoci.

(6) Izve{ tajot od stavot (4) na ovoj ~ len se analizira od strana na odgovornoto lice za za{ tita na li~ nite podatoci, koj dostavuva predlozi

| 47 |


na kontrolorot za prezemawe na potrebnite korek tivni ili dopolnitelni merki, za otstranuvawe na konstatiranite nedostatoci.

(7) Izve{ tajot od stavot (4) na ovoj ~ len treba da bide dostapen za uvid na Direkcijata za za{ tita na li~ nite podatoci.

^lenot 25(1) propi{ uva de ka kontrolorot podle ̀i na vna t r e { na i nadvore{ na kontrola, za da se utvr-di dali se pridr ̀uva do tehni~ kite i organizaciskite mer ki. Kontro-lata se vr{ i na in formaciskiot sistem i na in for mati~ kata in-frastruktura na kon trolorot. Vna-tre{ na kontrola se vr{ i edna{ godi{ no, dodeka nad vore{ na kon-trola se vr{ i ed na{ na tri godi-ni. Vnatre{ nata kon trola mo` e da ja vr{ i sood vet niot kadar na kontrolorot, do deka nadvore{ na-ta kontrola tre ba da im se doveri na nezavisni organizacii koi se specijalizirani za kontrola. Re-zultat od nad vore{ nata kontrola e izve{ taj so naodite od revizo-rite, kako i preporaki za potreb-nite korektivni merki za voo~ e-nite nedostatoci ili za vovedu-vawe na merkite koi nedostigale. Podatocite i faktite od kontro-lata koi ja so~ inuvaat osnovata za misleweto na revizorot i za preporakite treba da se prika` at vo izve{ taj ot od kontrolata. Od-govornoto lice (Odgovorno lice za za{ tita na li~ nite podatoci/Odgovorno lice za usoglasenost) e zadol` eno da gi analizira na-

odite od iz ve{ tajot i da mu pred-lo` i na kontrolorot dopolnitel-ni ili korektivni merki za da se otstranat utvrdenite gre{ ki i nedostatoci. Posledniot stav od ~ lenot 25 ureduva deka revizor-skiot izve{ taj treba da $ bide do-stapen na Direkcijata za za{ tita na li~ nite podatoci. Na toj na~ in inspekciskite postapki na Di-rekcijata za za{ tita na li~ nite podatoci } e bidat poefikasni i pobrzi.

Mnogu e va` no kontrolorite obvrskite od ovoj ~ len da ne gi gledaat kako pre~ ka, tuku kako mo` nost da si gi proverat proce-durite i sistemite i da gi pri-fatat vnatre{ nata i, { to e u{ te pova` no, nadvore{ nata kontrola kako korisno sredstvo i pomo{ . Zatoa, kontrolorot treba da im pomogne na vnatre{ nite i na nadvore{ nite revizori i da im gi dade site neophodni infor-macii. Ne se prepora~ uva revi-zorite da prikrivaat podatoci i fakti za{ to toa } e dovede do ponekvalitetni izve{ tai, koi na kraj } e rezultiraat so kr{ ewe na aktot za za{ tita na podatocite.

| Prira^ nik |

| 48 |

IDENtIfIkAcIjA I PROVERkA

^len 26 kontrolorot treba da vospostavi mehanizmi koi } e ovozmo` uvaat jasna identifikacija na sekoj korisnik koj pristapil do informaciskiot sistem i mo` nost za proverka na avtorizacijata za sekoj korisnik.

So cel da se obezbedi za{ tita i tajnost na li~ nite podatoci, tre ba da se vovedat soodvetni pro ceduri za da se ovozmo` i sle-de we na obrabotkata na li~ nite po datoci. Kontrolorot treba da gi ~ uva t.n. tragi za sledewe, koi ovoz mo` uvaat identifikacija na korisnikot i na negovite aktiv-no sti so li~ nite podatoci. So cel da se locira zloupotrebata na li~ nite podatoci, od su{ tinsko zna ~ ewe e kontrolorot da znae:

1. koj ima pristap do li~ nite po datoci (pravo na pristap), i

2. koj to~ no pristapil, do koi po datoci i koga (tragi za sle-de we ili zapisi).

Ako kontrolorot ima vovede-no samo prava na pristapuvawe, no ne i tragi za sledewe, nema da mo` e da se utvrdi dali li~ nite podatoci se koristele so neso-odvetna pri~ ina i koj e odgovo-ren za toa.

Primer

Za da se utvrdi dali nekoj po-licaec gi zloupotrebil prava-ta i dali gi proveril imeto i ad resata na nekoja ` ena { to ja za prel ili samo mu pravel uslu-ga na nekoj prijatel, policijata treba da vodi evidencija za pri-stapot do li~ nite podatoci so-dr` ani vo registarot na vozila. Ako policaecot nemal legitimna pri~ ina da gi proveri tie li~ ni podatoci (na primer, formalna procedura), tragata za sledewe } e ovozmo` i podocne` na istraga i otkrivawe dali li~ nite poda-toci se koristele za nekoja druga namena. Drug primer e mediumite da dojdat do mnogu ~ uvstvitelni podatoci za nekoja medicinska institucija. Ako nema prava na pristap i proceduri za zapisi, nema da bide mo` no da se najde liceto koe im gi otkrilo infor-maciite na mediumite.

| 49 |


Kontrolorite koi obrabotuva-at golemi koli~ estva li~ ni poda-toci ili obrabotuvaat ~ uvstvi-telni li~ ni podatoci treba da vovedat mnogu strogi zapisni~ ki politiki. Zapisite treba da gi sodr` at barem slednive podato-ci: do koi li~ ni podatoci ili do koja grupa li~ ni podatoci e pri-stapeno, koj go storil toa i koga. Kontrolorite treba da se pogri-` at za slednovo:

• da ne mo` e da se isklu~ i registriraweto;

• zapisite da ne mo` e da se me-nuvaat ili da se bri{ at.

Toa mo` e da se obezbedi preku t.n. princip na ~ etiri o~ i (pri-stapot e dozvolen edinstveno za dve ili pove} e lica istovreme-no), preku podelba na zada~ ite i pravata na pristap (za da se spre~ i sistemskite administra-tori da gi menuvaat zapisite) ili so tehni~ ki merki (na pri-mer, za~ uvuvawe na zapisite na nepromenlivi mediumi, na pri-mer na CD/DVD diskovi za edno-kratno vpi{ uvawe).

| Prira^ nik |

| 50 |

EVIDENtIRAwE NA AVtORIzIRANIOt PRIStAP

^len 27 (1) kontrolorot vodi evidencija za sekoj avtoriziran pristap koja treba da gi sodr` i osobeno slednite podatoci: ime i prezime na korisnikot, rabotna stanica od kade se pristapuva do informaciskiot sistem, datum i vreme na pristapuvawe, li~ ni podatoci kon koi e pristapeno, vidot na pristapot so operaciite koi se prezemeni pri obrabotka na podatocite, zapis za avtorizacija za sekoe pristapuvawe, zapis za sekoj neavtoriziran pristap i zapis za avtomatizirano otfrlawe od informaciskiot sistem.

(2) Vo evidencijata od stavot (1) na ovoj ~ len se vnesuvaat i podatoci za identifikuvawe na informaciskiot sistem od koj se vr{ i nadvore{ en obid za pristap vo operativnite funkcii ili li~ nite podatoci bez potrebnoto nivo na avtorizacija.

(3) Operaciite koi ovozmo` uvaat evidentirawe na podatocite od stavovite (1) i (2) na ovoj ~ len treba da bidat kontrolirani od strana na odgovornoto lice za za{ tita na li~ nite podatoci i istite ne mo` e da se deaktiviraat.

(4) Evidencijata od stavot (1) na ovoj ~ len se ~ uva najmalku deset godini.

(5) Odgovornoto lice za za{ tita na li~ nite podatoci vr{ i periodi~ na proverka na podatocite od stavovite (1) i (2) na ovoj ~ len, najmalku edna{ mese~ no i izgotvuva izve{ taj za izvr{ enata proverka i za konstatiranite nepravilnosti.

| 51 |


Tragite za sledewe { to se vo-dat vo informaciskiot sistem treba da gi sodr` at slednive po-datoci:

• ime i prezime na korisni-kot;

• rabotno mesto od koe liceto vleglo vo informaciskiot sistem;

• datum i vreme na pristapot;

• li~ ni podatoci do koi se pristapilo;

• vid pristap i obrabotka na li~ ni podatoci;

• evidencija na avtorizacijata na sekoj pristap, i

• evidencija na sekoj neavto-riziran pristap i evidencija na avtomatskoto odbivawe od informaciskiot sistem.

Vo odnos na vidot na pristapot, treba da bide jasno deka toa se od-nesuva na prezemenite dejstva od strana na korisnicite (na primer, dodavawe, bri{ ewe, a` u rirawe, vnesuvawe ili drugi ak tivnosti so podatoci). Stavot 1, isto taka,

bara da se evidentira sekoj pri-stap, { to e mnogu va` na merka pri utvrduvaweto da li do{ lo do zloupotreba na li~ nite podatoci. Informacis ki ot sistem na kon-trolorot treba da gi evidentira i obidite za ne av toriziran pri-stap vo infor ma ciskiot sistem i avtomatskite od bivawa od nego. Kontrolorot tre ba da vodi i evi-dencija za obi dite za neavtorizi-ran pristap.

Tragite za sledewe treba da gi kontrolira odgovornoto lice za za{ tita na podatocite (Odgo-vorno lice za za{ tita na li~ nite podatoci/Odgovorno lice za uso-glasenost) i tie ne treba da se isklu~ uvaat. Tragite za sledewe od stavot 1 treba da se ~ uvaat de-set godini.

Odgovornoto lice za za{ tita na li~ nite podatoci/Odgovorno-to lice za usoglasenost treba da gi kontrolira tragite za sledewe najmalku edna{ mese~ no i da iz-gotvuva izve{ taj za svoite aktiv-nosti i naodi.

| Prira^ nik |

| 52 |

kONtROLA NA fIzI^kI PRIStAP

^len 28 Vo dokumentacijata za tehni~ ki i organizaciski merki, kontrolorot treba da opredeli kriteriumi za korisnicite koi mo` at da imaat pristap do prostoriite kade e smesten informaciskiot sistem.

Kontrolorite treba da gi ut-vrdat kriteriumite za pristap do informaciskiot sistem (pros-toriite so serveri). Naj~ esto toa im se dozvoluva na lica od Sektorot/Oddelenieto za infor-matika, iako ~ esto nema potreba site od Sektorot/Oddelenieto za informatika da imaat pri-stap do prostoriite so serveri (pristapot treba da se ograni~ i i vo ramkite na samiot Sektor/Oddelenie za informatika). Site vraboteni vo Oddelenieto za informatika ne vr{ at zada~ i za koi e potreben fizi~ ki pri-stap do prostoriite so serveri.

Procedurata za vlez vo prostori-ite so serveri treba da vklu~ uva i registar kade { to se zapi{ uva sekoj pristap. Informaciite vo registarot treba da gi sodr` at imeto na liceto/licata, datumot i vremeto na vlezot, pri~ inata za vlez i potpis od liceto. Na li-cata koi ne se vraboteni kaj kon-trolorot treba da im se dozvoli pristap do prostoriite so serve-ri edinstveno ako gi pridru` uva vraboten kaj kontrolorot i ako nivnite zada~ i baraat pristap do prostoriite so serveri (na pri-mer, instalacija na nov hardver, klima-uredi i sli~ no).

| 53 |


uPRAVuVAwE SO mEDIumI

^len 29 (1) kontrolorot treba da vospostavi sistem za evidentirawe na mediumite koi se primaat so cel da ovozmo` i direktna ili indirektna identifikacija na vidot na mediumot koj e primen, datum i vreme na primawe, ispra} a~ , broj na mediumi koi se primeni, vid na dokument koj e snimen na mediumot, na~ in na ispra} awe na mediumot, ime i prezime na liceto ovlasteno za priem na mediumot.

(2) Odredbite od stavot (1) na ovoj ~ len se primenuvaat i za evidentirawe na mediumite koi se ispra} aat od strana na kontrolorot.

(3) za prenesenite mediumi nadvor od rabotnite prostorii na kontrolorot, treba da bidat prezemeni neophodni merki za da se spre~ i neovlasteno obrabotuvawe na li~ nite podatoci snimeni na niv.

^lenot 29 ureduva deka kon-trolorot treba da vodi eviden-cija za raboteweto so mediumi-te, vklu~ itelno i podatoci za direktna ili indirektna iden-tifikacija na tipot na prime-nite mediumi, datumot i vremeto na priem, ispra} a~ ot, seriskiot broj na mediumite, vidot na doku-mentite zapi{ ani na mediumite i imeto i prezimeto na ovlas-tenoto lice za priem na mediu-mi. Istoto bi trebalo da va` i i za mediumite { to gi pra} aat kontrolorite. Kako { to e dade-

no pogore (vidi nasoki za ~ le-not 19), mediumite { to sodr` at li~ ni podatoci i se prenesuvaat nadvor od prostoriite na kon-trolorot treba da se za{ titat. Kontrolorot treba da vnimava na sigurnosta na mediumite vo tekot na prenosot dokolku, na primer, li~ nite podatoci se prenesuvaat na prenoslivi mediumi (USB, CD/DVD itn.). Li~ nite podatoci tre-ba da se za{ titat so lozinka ili da se kriptiraat za da se spre~ i neovlasten pristap do niv.

| Prira^ nik |

| 54 |

EVIDENtIRAwE NA INcIDENtI

^len 30 (1) Vo Pravilata za prijavuvawe, reakcija i sanirawe na incidenti, kontrolorot gi opredeluva postapkite koi se primenuvaat za povtorno vra} awe na li~ nite podatoci i na~ inot na evi dentirawe na korisnicite koi gi izvr{ ile operaciite za povtorno vra} awe na li~ nite podatoci, kategoriite na li~ nite podatoci koi se vrateni i koi bile ra~ no vneseni pri vra} aweto.

(2) za povtorno vra} awe na li~ nite podatoci, kontrolorot izdava pismeno ovlastuvawe na korisnicite za da gi izvr{ at operaciite za vra} awe na podatocite.

^lenot 16 bara podgotovka na t.n. proceduri za upravuvawe so incidenti. Kontrolorot treba da propi{ e procedura kako da se re-agira pri pojava na incident so koj se zagrozeni li~ nite podato-ci. Preciznata evidencija na ut-vrdenite incidenti e od osobeno zna~ ewe za uspe{ no spravuvawe so incidentite vo idnina. Po-kraj obvrskite uredeni vo ~ len

16, ~ len 30 ureduva deka proce-durite za vra} awe podatoci gi propi{ uva kontrolorot. Tie tre-ba da vklu~ uvaat evidencija za toa koj gi vratil podatocite i koi kategorii li~ ni podatoci se vra-teni. Vra} aweto na li~ nite poda-toci treba da se vr{ i edinstve-no so pismeno ovlastuvawe za koris nicite koi imaat sredstva da gi vratat podatocite.

| 55 |


SIGuRNOSNI kOPII

^len 31 Sigurnosnite kopii zadol` itelno treba da bidat ~ uvani na druga oddale~ ena lokacija od mestoto kade e smesten informaciskiot sistem i istata treba da bide obezbedena so soodvetni tehni~ ki i organizaciski merki soglasno dokumentacijata za tehni~ ki i organizaciski merki.

Osnovnoto nivo na tehni~ ki i organizaciski merki bara si-gurnosnite kopii da se ~ uvaat na bezbedno mesto (na primer, vo zaklu~ en ognootporen { kaf). Se-pak, za srednoto nivo na tehni~ ki i organizaciski merki treba da se ~ uvaat sigurnosni kopii na druga (vtora) lokacija, razli~ na od prvata lokacija na kontrolo-rot. Vtorata sigurnosna lokacija treba da gi ima postaveno istite tehni~ ki i organizaciski merki kako i prvata. Tie merki se vo-obi~ aeni za sredinite kade { to se obrabotuvaat golemi koli~ e-stva va` ni podatoci i voobi~ a-

eno vleguvaat vo domenot na Cen-trite za spasuvawe od katastrofi ili Planiraweto za neprekinato rabotewe. Sigurnosnite poda-toci ili se pra} aat do Centrite za spasuvawe od katastrofi po elektronski pat, preku posebni linii, za da se spre~ i neovlas-ten pristap, ili, pak, se prene-suvaat po siguren pat (na primer, periodi~ no se prenesuvaat preku oficijalni kurirski slu` bi). Sekundarni sigurnosni centri naj~ esto imaat bankite ili dru-gite firmi specijalizirani za sefovi itn.

| Prira^ nik |

| 56 |

tEStIRAwE NA INfORmAcISkIOt SIStEm

^len 32 (1) kontrolorot zadol` itelno vr{ i testirawe na informaciskiot sistem pred negovoto implementirawe ili po izvr{ enite promeni so cel da se proveri dali sistemot obezbeduva tajnost i za{ tita na obrabotkata na li~ nite podatoci soglasno so dokumentacijata za tehni~ ki i organizaciski merki i propisite za za{ tita na li~ nite podatoci.

(2) testiraweto od stav (1) na ovoj ~ len se vr{ i preku obrabotka na dokumenti koi sodr` at imaginarni li~ ni podatoci od strana na nezavisno treto lice.

^lenot 32 bara kontrolorot da go testira informaciskiot sis-tem pred da go pu{ ti vo upotreba ili pred da vovede zna~ itelni promeni vo raboteweto so sis-temot (t.n. upravuvawe so prome-ni). Vo vtoriot slu~ aj mo` e da se raboti za nova aplikacija ili za nov hardver (na primer, nov server), so koi zna~ itelno se menuva opfatot na raboteweto na informaciskiot sistem. Takvite testovi se va` ni za{ to noviot softver i hardver nosat promeni vo sistemot koi mo` at da done-

sat i novi na~ ini za napad ili eksplo atacija na sistemot { to bi dovele do zloupotreba ili gube-we na li~ nite podatoci.

^lenot 32(2) ureduva deka fazite na testirawe treba da se izvr{ at so probni podatoci, a ne so vistinski li~ ni podatoci, i deka testiraweto treba da go izvr{ i nezavisno treto lice. Toa bi mo` elo da pretstavuva se-riozna obvrska za pove} eto kon-trolori za{ to mo` e da vklu~ uva nadvore{ ni informati~ ki revi-zori sposobni za takvi zada~ i.

| 57 |

IV. VISOkO NIVO NA tEhNI^ kI I ORGANIzAcISkI mERkI

SERtIfIkAcIONI POStAPkI

^len 33 kontrolorot mo` e da primenuva i drugi tehni~ ki merki za tajnosta i za{ tita na obrabotkata na li~ nite podatoci, preku primena na sertifikacioni postapki soglasno propisite za podatocite vo elektronski oblik i elektronski potpis.

^lenot 33 ureduva deka kon-trolorot mo` e da koristi drugi tehni~ ki i organizaciski merki za tajnost i za{ tita na li~ nite podatoci, no tie proceduri treba da gi sledat propisite za elektro nski podatoci i elektro n -ski potpis.

Sigurnosta i doverlivosta na elektronskite podatoci mo` e da se obezbedi preku upotrebata na digitalni sertifikati i t.n. infrastruktura na javen klu~ (Public Key Infrastructure - PKI) za upravuvawe so digitalni sertifikati. Digitalnite ser-tifikati se zasnovaat na krip-tografija na javen klu~ , { ema koja{ to koristi parovi od javen i privaten klu~ . Privatniot klu~ go znae samo sopstvenikot

i toj se koristi za da se sozdade digitalen potpis. Korisnikot treba vo sekoe vreme da go ~ uva toj klu~ vo tajnost. Javniot klu~ e na{ iroko poznat i se koristi za proverka na digitalniot pot-pis. PKI e { ema { to gi povrzuva javnite klu~ evi so soodvetniot korisni~ ki identitet preku telo za sertifikacija. Digitalniot sertifikat izdaden od teloto za sertifikacija mo` e da se upo-trebi za da se identifikuva jav-no ili privatno lice na inter-net stranici i mo` e da ponudi avtoriziran pristap do privatni i za{ titeni informacii. Elek-tronskata komunikacija mo` e da se potpi{ e i za{ titi so ~ ita~ na elektronska po{ ta kompatibilen so S/MIME (Secure/Multipurpose

| Prira^ nik |

| 58 |

Internet Mail Extensions). Kontro-lorite mo` at da koristat elek-tronski potpi{ ani dokumenti so digitalni sertifikati izdadeni od ovlastenite tela za sertifi-kacija vo Makedonija (na primer, „Makedonski telekomunikacii” i „KIBS”). Pove} e informacii za PKI i za digitalnite sertifika-ti mo` e da najdete na internet stranicite na gorenavedenite tela za sertifikacija:

• „Makedonski telekomunika-cii” - http://www.telekom.mk/ mk/

• KIBS - http://ca.kibs.com.mk/defaulten.aspx

Tamu } e najdete informacii za toa kako da dobiete digitalen sertifikat, kade i kako da go ko-ristite, koi se tehni~ kite uslo-vi za negovata upotreba, kako i drugi korisni informacii.

PRENESuVAwE NA mEDIumI

^len 34 mediumite mo` at da se prenesuvaat nadvor od rabotnite prostorii samo ako li~ nite podatoci se kriptirani ili ako se za{ titeni so soodvetni metodi koi garantiraat deka podatocite nema da bidat ~ itlivi, pri { to samo administratorot na informaciskiot sistem mo` e da gi dekriptira ili lice ovlasteno od nego.

Prenesuvaweto mediumi nad-vor od prostoriite na kontrolo-rot e dozvoleno samo ako podato-cite se prenesuvaat na na~ in na koj ne mo` at da se ~ itaat. Toa se postignuva so soodvetni metodi za kriptirawe { to dozvoluvaat edinstveno ovlasten personal, kako informati~ kiot admini-strator, da gi dekriptiraat po-

datocite do ~ itliv oblik. Krip-tiraweto podatoci mo` e da se vr{ i na prenosliv medium, kako USB ili hard-diskovi, kade { to se kriptira celiot medium, no i na na~ in kade { to podatocite se kriptiraat pred da se snimat na prenosliv medium (vidi nasoki za ~ lenot 19 so primeri za kori-sen softver).

| 59 |

| IV. Visoko nivo na tehni~ki i organizaciski merki |

PRENESuVAwE NA LI^NItE PODAtOcI PREku tELEkOmuNIkAcISkA mRE@ A

^len 35 Li~ nite podatoci mo` at da se prenesuvaat preku telekomunikaciska mre` a samo ako se kriptirani ili ako se posebno za{ titeni so soodvetni metodi koi garantiraat deka podatocite nema da bidat ~ itlivi pri prenosot.

Ako podatocite se prenesuvaat preku internet, treba da se koris-tat sigurni protokoli. Eden od tie protokoli e HTTPS, koj e kom-binacija od HTTP i kriptografski protokol. HTTPS vrskite ~ esto se koristat za plate` ni transakcii na internet i za ~ uvstvitelni transakcii vo korporativnite informaciski sistemi. Sigurni protokoli treba da se koristat i ako podatocite se razmenu-vaat preku elektronska po{ ta. Na primer, protokolot SMTPS za sigurna razmena na elektronska po{ ta, no i drugi re{ enija kako PGP (Pretty Good Privacy). Drugi metodi za za{ tita na prenosot na li~ ni podatoci preku telekomu-nikaciski mre` i se digitalnite sertifikati zasnovani na PKI – za pove} e informacii videte gi nasokite za ~ lenot 33.


Ako vo va{ ata dejnost treba da prenesuvate li~ ni podatoci preku telekomunikaciski mre` i, se prepora~ uva da pobarate sood-vetni re{ enija koi } e gi zado-volat uslovite od Pravilnikot so razumna investicija. Sigur-ni ot prenos na podatoci preku elek tronska po{ ta se postignuva, na primer, so re{ enija { to funk-cioniraat so OpenPGP. Golem broj davateli na uslugi za elektron-ska po{ ta obezbeduvaat za{ tita usoglasena so OpenPGP. Pove} e informacii mo` e da najdete na slednava adresa:

http://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP.

Ako imate namera da prene-suvate li~ ni podatoci preku in-ternet so HTTP, pogri` ete se da koristite protokol TLS (SSL) ili re{ enija za virtuelna privatna mre` a (VPN).

| Prira^ nik |

| 60 |

V. PREODNI I zAVR[ NI ODREDbI

PREStANuVAwE NA VA@ EwE

^len 36 So denot na otpo~ nuvaweto na primenata na ovoj pravilnik prestanuva da va` i Pravilnikot za tehni~ kite i organizaciskite merki za obezbeduvawe tajnost i za{ tita na obrabotkata na li~ nite podatoci („Slu` ben vesnik na Republi ka makedonija” br. 111/05).

VLEGuVAwE VO SILA

^len 37 Ovoj pravilnik vleguva vo sila naredniot den od denot na objavuvaweto vo „Slu` ben vesnik na Republika makedonija”, a } e se primenuva od 1 juni 2009 godina.

P rira^nik - soros.org.mk · PDF filePrevod od angliski: Oliver Jordanovski Likovno-grafi~ko...

Documents

Transcript of P rira^nik - soros.org.mk · PDF filePrevod od angliski: Oliver Jordanovski Likovno-grafi~ko...