Avstriya Kiberxavfsizlik qonuni

Yüklə 60,03 Kb.

səhifə	1/2
tarix	30.04.2023
ölçüsü	60,03 Kb.
	#126090

1 2

Avstriya Kiberxavfsizlik qonuni
Ma'lumotlarni himoya qilish
1. Ma'lumotlarni himoya qilish bo'yicha mahalliy qonunlar va ko'lami
Umumiy ma'lumotlarni himoya qilish qoidalari (GDPR)
Avstriyaning maʼlumotlarni himoya qilish toʻgʻrisidagi qonuni 2018 (DPA 2018)
Avstriya telekommunikatsiya qonuni 2003 (TCA 2003)
Sog'liqni saqlash telematikasi bo'yicha Avstriya qonuni ( Gesundheitstelematikgesetz 2012) - GTelG 2012
Avstriya ma'lumotlarni himoya qilish organining ma'lumotlarni himoya qilishga ta'sirini baholash amalga oshiriladigan qayta ishlash operatsiyalari to'g'risidagi nizomi (Federal qonun gazetasi II No 278/2018)
Avstriya maʼlumotlarni himoya qilish organining maʼlumotlarni himoya qilishga taʼsirini baholashdan ozod qilish toʻgʻrisidagi nizomi (Federal Law Gazette II No. 108/2018)
Avstriya ma'lumotlarini himoya qilish organining GDPR 41 (1)-moddasiga muvofiq monitoring organini akkreditatsiya qilish talablari to'g'risidagi nizomi (Federal qonun gazetasi II No 264/2019)
2. Ma'lumotlarni himoya qilish organi
Avstriya ma'lumotlarni himoya qilish organi: https://www.dsb.gv.at

3. Mahalliy qonunlarga kutilayotgan o'zgarishlar
GDPR 2018 yilda Avstriyaning ma'lumotlarni himoya qilish to'g'risidagi qonuni bilan to'liq amalga oshirildi.

Mavjud istisnolar:
ommaviy foydalanish mumkin bo'lgan ma'lumotlar faqat 2018 yilgi Ma'lumotlarni himoya qilish to'g'risidagi qonunga muvofiq himoyalangan, agar ular tarixiy tadqiqot maqsadlarida yoki statistik maqsadlarda foydalanilmasa (DPA 7-bo'limi);
Ma'lumotlar sub'ektini xabardor qilish va intervyu olish uchun manzillarni taqdim etish, agar ma'lumotlar sub'ektlari guruhi va ma'lumot yoki suhbat mavzusini tanlash mezonlarini hisobga olgan holda, ma'lumotlar sub'ektining maxfiylikdagi manfaatlarini buzish ehtimoli bo'lmasa, ma'lumotlar sub'ektlarining roziligini talab qilmaydi (DPA 8-bo'limi). );
DPA 5-bo'limiga muvofiq ma'lumotlarni himoya qilish bo'yicha xodimga tegishli maxsus qoidalar, masalan, Avstriya vazirliklarining kamida bitta ma'lumotlarni himoya qilish bo'yicha xodimini tayinlash majburiyati (GDPR 37-modda);
bolalarning qonuniy roziligi uchun yoshi 14 yoshga tushiriladi (DPA 4 (4) bo'lim);
DPA 12 va 13-bo'limlarida belgilangan maxsus CCTV qoidalari;
shaxsiy ma'lumotlarni himoya qilish huquqini so'z va ma'lumot erkinligi bilan, xususan, Avstriya ommaviy axborot vositalari to'g'risidagi qonunida ko'rsatilgan shaxsiy ma'lumotlarni jurnalistik maqsadlarda qayta ishlashga nisbatan muvofiqlashtirish zarur bo'lsa, GDPR qo'llanilmaydi (DPA 9-bo'limi). );
10-bo'lim DPA favqulodda holatlarda shaxsiy ma'lumotlarni qayta ishlashga ruxsat beradi;
DPA 62-bo'limida belgilangan maxsus ma'muriy jazo qoidalari;
62-moddada ko'rsatilgan foyda olish yoki zarar etkazish maqsadida ma'lumotlarni qayta ishlash uchun ma'muriy jazo;
Avstriya ma'lumotlarni himoya qilish organining ma'lumotlarni himoya qilishga ta'sirini baholash amalga oshiriladigan ishlov berish operatsiyalari to'g'risidagi nizomi (Federal qonun gazetasi II No 278/2018):
boshqaruvchi ma'lumotlarni himoya qilish ta'sirini baholashni o'tkazishi kerak bo'lgan ishlov berish operatsiyalariga oid mezonlar katalogini belgilaydi.
GDPR 35 (4)-moddasiga muvofiq amalga oshirish akti
Avstriya maʼlumotlarni himoya qilish organining maʼlumotlarni himoya qilishga taʼsirini baholashdan ozod qilish toʻgʻrisidagi nizomi (Federal qonun gazetasi II No 108/2018):
ma'lumotlarni muhofaza qilish ta'sirini baholash talab etilmaydigan qayta ishlash operatsiyalari ro'yxatini belgilaydi
GDPR 35(5)-moddasiga muvofiq amalga oshirish akti
Sco pe:
Ma'lumotlarni qayta ishlashning avtomatlashtirilgan va avtomatlashtirilmagan operatsiyalari;
Aniqlangan yoki aniqlanishi mumkin bo'lgan ma'lumotlar sub'ektlariga tegishli ma'lumotlar (jismoniy shaxslar; DPA 1-bo'limining konstitutsiyaviy qoidalarida belgilangan ma'lumotlarni himoya qilishning asosiy huquqi yuridik shaxslarni himoya qilishni davom ettiradi (bu DPA qabul qilingan paytdagi siyosiy qiyinchiliklarga taalluqlidir: konstitutsiyaviy). parlamentda zarur bo'lgan uchdan ikki ko'pchilik yo'qligi sababli qonunga o'zgartirish kiritib bo'lmadi);
Avstriyada tashkil etilgan shaxsiy ma'lumotlarni qayta ishlash maqsadlari va vositalarini belgilovchi tomon ("ma'lumotlar nazoratchisi");
Agar ma'lumotlar boshqaruvchisi DPAga ("ma'lumotlar protsessori") bo'ysunsa, ma'lumotlarni tekshiruvchi nomidan ma'lumotlarni qayta ishlovchi tomon;
Avstriyadan tashqarida, lekin Evropa Ittifoqiga a'zo davlat ichida tashkil etilgan ma'lumotlar nazoratchilari Avstriyada nazoratchini o'rnatish uchun shaxsiy ma'lumotlardan foydalanadilar;
Avstriyada shaxsiy ma'lumotlardan foydalanadigan hech qanday Evropa Ittifoqiga a'zo davlatda o'rnatilmagan ma'lumotlar nazoratchilari;
4. Sanktsiyalar va rioya qilmaslik
DPA bo'yicha sanksiyalar:
DPAga rioya qilmaslik shikoyatlar, ma'lumotlarni himoya qilish bo'yicha organ tekshiruvlari va / yoki buyruqlar, ma'muriy jarimalar, jihozlar yoki ma'lumotlarni musodara qilish va fuqarolik harakatlari va / yoki jinoiy ish yuritishga olib kelishi mumkin.
Ma'muriy sanktsiyalar:
Avstriyaning ma'lumotlarni himoya qilish organi DPAga rioya qilmaslik uchun 50 000 evrogacha ma'muriy jarima solishi mumkin. DPA bo'yicha jarimalar, agar huquqbuzarlik GDPR 83-moddasiga ("barchasini qo'lga kiritish" bandi) muvofiq huquqbuzarlik hisoblanmasagina qo'llaniladi.
Yuridik shaxslarga jarima solinishi mumkin
rahbariyat tomonidan buzilganligi sababli; yoki
nosozliklarni kuzatish yoki nazorat qilish uchun.
Yuridik shaxs huquqbuzarliklar uchun javobgar bo'ladi, agar rahbar nazorat majburiyatlarini bajarmasa yoki tashkiliy masalalarni hal qilmasa, bu kompaniyada ishlaydigan shaxs tomonidan huquqbuzarlik sodir etilishiga olib keladi. Bundan tashqari, 1991 yil Ma'muriy jazo to'g'risidagi qonunning 9-bo'limiga muvofiq javobgar shaxsga jarima solinishi mumkin.
Jinoiy jazo choralari:
Yo'q

5. Ro'yxatdan o'tish / bildirishnoma / avtorizatsiya
GDPR 2018 yilda Avstriyaning ma'lumotlarni himoya qilish to'g'risidagi qonuni bilan to'liq amalga oshirildi.

GDPR 37-modda nazoratchi yoki protsessordan ma'lumotlarni himoya qilish bo'yicha xodimning aloqa ma'lumotlarini e'lon qilishni va Avstriyaning ma'lumotlarni himoya qilish organiga aloqa ma'lumotlarini etkazishni talab qiladi.

6. Asosiy majburiyatlar va qayta ishlash talablari
Ma'lumotga qo'yiladigan talablar:
Shaxsiy ma'lumotlarni to'playdigan ma'lumotlar boshqaruvchisi ma'lumotlar sub'ektlariga quyidagilar haqida ma'lumot berishi kerak: ma'lumotlar boshqaruvchisining shaxsi (ismi, manzili, aloqa ma'lumotlari); qayta ishlash maqsadlari va qonuniy asoslari; ma'lumotlar toifalari; ma'lumotlarni qabul qiluvchilar (faqat ma'lumotlar boshqaruvchidan boshqaruvchiga uzatilishi kerak bo'lsa); agar rozilik zarur bo'lsa, rozilikni istalgan vaqtda bekor qilish imkoniyati ko'rsatiladi; va ma'lumotlar sub'ektining huquqlari.
Rozilik talablari:
agar rozilik zarur bo'lsa, elektron va qog'oz rozilik to'g'ri tuzilgan va hujjatlashtirilgan bo'lsa, ruxsat etiladi va samarali hisoblanadi. Ma'lumotlar sub'ekti quyidagi ma'lumotlar bilan ta'minlanishi kerak: ma'lumotlar boshqaruvchisining identifikatori; qayta ishlangan ma'lumotlar toifalari; qabul qiluvchilar (agar ular ham ma'lumotlar boshqaruvchisi bo'lsa); qayta ishlash maqsadlari; va istalgan vaqtda rozilikni bekor qilish huquqi.
Autsorsingga qo'yiladigan talablar:
qayta ishlash nazoratchi nomidan protsessor tomonidan amalga oshirilsa, nazoratchi tegishli texnik va tashkiliy chora-tadbirlarni amalga oshirish uchun etarli kafolatlar beradigan protsessorlardan faqat qayta ishlash ushbu Nizom talablariga javob beradigan va huquqlar himoyasini ta'minlaydigan protsessorlardan foydalanishi kerak. ma'lumotlar sub'ekti (GDPR 28-modda).
7. Ma'lumotlar sub'ekti huquqlari
III bob GDPR ma'lumotlar sub'ektining quyidagi huquqlarini aniq nazarda tutadi:

Ma'lumotlar sub'ektining kirish huquqi (GDPR 15-modda);
Tuzatish huquqi (GDPR 16-modda);
Yo'q qilish huquqi (GDPR 17-modda);
Qayta ishlashni cheklash huquqi (18-modda);
Ma'lumotlarni ko'chirish huquqi (GDPR 20-modda);
E'tiroz bildirish huquqi (GDPR 21-modda);
Faqat avtomatlashtirilgan qayta ishlashga, shu jumladan profilga asoslangan qarorga bo'ysunmaslik huquqi.
GDPR ma'lumotlar sub'ektining qo'shimcha huquqlarini ta'minlaydi, masalan, xabardor bo'lish huquqi (GDPR 13 va 14-moddalari), Avstriyaning ma'lumotlarni himoya qilish organiga shikoyat qilish huquqi (DPA 24-bo'limi bilan birgalikda GDPRning 77-moddasi), va samarali sud vositalaridan foydalanish huquqi (GDPR 78 va 79-moddalari).

8. Uchinchi shaxslar tomonidan qayta ishlash
GDPRdan istisnolar yo'q.

9. Mamlakatdan tashqariga o'tkazmalar
Uchinchi mamlakatlarga o'tkazish umuman taqiqlangan.

Biroq, GDPR ma'lumotlarni uchinchi mamlakatlarga o'tkazish uchun bir nechta mexanizmlarni nazarda tutadi, masalan:

GDPR 45-moddasiga muvofiq Yevropa Komissiyasining muvofiqlik qarori (masalan, Maxfiylik qalqoni);
GDPR 46-moddasiga muvofiq ma'lumotlarni himoya qilishning ichki qoidalari (majburiy korporativ qoidalar);
GDPR 46-moddasiga muvofiq standart shartnoma bandlari (SCC);
Xulq-atvor kodeksi va sertifikatlash mexanizmlari GDPR 46-moddasiga muvofiq uzatish vositasi sifatida;
GDPR 28-modda asosida ma'lumotlarni uzatish.
Qo'shimcha uzatish mexanizmlari yoki vositalari uchun GDPR 44-49-moddalariga qarang

10. Ma'lumotlarni himoya qilish bo'yicha mutaxassis
Nazorat qiluvchilar va protsessorlar quyidagi hollarda ma'lumotlarni himoya qilish bo'yicha xodimni tayinlashlari kerak:

Qayta ishlash davlat organi yoki davlat organi tomonidan amalga oshiriladi;
ma'lumotlarni qayta ishlashning asosiy faoliyati keng qamrovli muntazam va tizimli monitoringdan iborat;
Ma'lumotlarni qayta ishlashning asosiy faoliyati maxsus toifadagi ma'lumotlarni katta miqyosda qayta ishlash yoki jinoiy ma'lumotlarni qayta ishlashdan iborat.
Avstriya vazirliklari DPA 5 (4) bo'limiga muvofiq kamida bitta ma'lumotlarni himoya qilish bo'yicha xodimni tayinlashlari shart.

11. Xavfsizlik
San'at darajasi, amalga oshirish xarajatlari va qayta ishlashning tabiati, ko'lami, mazmuni va maqsadlarini, shuningdek jismoniy shaxslarning huquq va erkinliklari uchun turli xil ehtimollik va jiddiylik xavfini hisobga olgan holda, nazorat qiluvchi va ishlov beruvchi. xavf-xatarga mos keladigan xavfsizlik darajasini ta'minlash uchun tegishli texnik va tashkiliy chora-tadbirlar, shu jumladan tegishli hollarda:

shaxsiy ma'lumotlarni taxalluslash va shifrlash;
qayta ishlash tizimlari va xizmatlarining doimiy maxfiyligini, yaxlitligini, mavjudligi va barqarorligini ta'minlash qobiliyati;
jismoniy yoki texnik hodisa sodir bo'lgan taqdirda shaxsiy ma'lumotlarning mavjudligi va ularga kirishni o'z vaqtida tiklash imkoniyati; va
qayta ishlash xavfsizligini ta'minlash bo'yicha texnik va tashkiliy chora-tadbirlar samaradorligini muntazam ravishda sinovdan o'tkazish, baholash va baholash jarayoni.
12. Buzilish haqida bildirishnoma
Shaxsiy ma'lumotlar buzilgan taqdirda, nazoratchi ortiqcha kechiktirmasdan va iloji bo'lsa, bu haqda ma'lum bo'lganidan keyin 72 soatdan kechiktirmay, shaxsiy ma'lumotlarning buzilishi haqida GDPR 55-moddasiga muvofiq vakolatli nazorat organiga xabar berishi kerak, agar shaxsiy ma'lumotlarning buzilishi jismoniy shaxslarning huquq va erkinliklariga xavf tug'dirishi mumkin emas. Nazorat qiluvchi organga 72 soat ichida xabar berilmagan taqdirda, kechiktirish sabablari ko'rsatilishi kerak.

Agar shaxsiy ma'lumotlarning buzilishi jismoniy shaxslarning huquq va erkinliklariga yuqori xavf tug'dirishi mumkin bo'lsa, nazoratchi ma'lumotlarning buzilishi to'g'risida ortiqcha kechiktirmasdan ma'lumotlar sub'ektiga xabar beradi.

Mahalliy qonunlarga muvofiq umumiy qo'shimcha talablar qo'llanilmaydi.

Avstriyaning ma'lumotlarni himoya qilish organini xabardor qilish uchun siz ma'lumotlarning buzilishi haqida bildirishnoma shaklidan foydalanishingiz va uni dsb@dsb.gv.at manziliga yuborishingiz mumkin .

13. To'g'ridan-to'g'ri marketing
GDPR va Avstriyaning maʼlumotlarni himoya qilish toʻgʻrisidagi qonuni (DPA 2018) shaxsiy maʼlumotlar bilan bogʻliq barcha marketing va reklama faoliyatiga nisbatan qoʻllaniladi. Shaxsiy ma'lumotlar identifikatsiya qilingan yoki aniqlanishi mumkin bo'lgan jismoniy shaxsga tegishli har qanday ma'lumotni anglatadi (GDPR 4-moddasi 1-bandi).
Bu sotuvchilar va adtech kompaniyalari xavfsizlik choralari va shaxsiy ma'lumotlarning buzilishi haqida xabar berish nuqtai nazaridan rioya qilishlari kerak bo'lgan asosiy qonunchilikdir.
GDPR va DPA bo'yicha ma'muriy jarimalar Avstriyaning ma'lumotlarni himoya qilish idorasi tomonidan qo'llaniladi.
GDPR va DPA bo'yicha zararni qoplash ( Schadenersatzklagen ) va ko'rsatmalar ( Unterlassungsklagen ), shuningdek, vaqtinchalik taqiqlar ( einstweilige Verfügungen ) sudlar tomonidan qo'llaniladi.
Avstriyaning maʼlumotlarni himoya qilish toʻgʻrisidagi qonuni (DPA 2018)
Bundan tashqari, Avstriyaning Telekommunikatsiyalar to'g'risidagi qonuni (TKG 2003) qoidalari (2002/58/EC Yevropa Ittifoqining ePrivacy Direktivini amalga oshiradi) muayyan marketing va reklama maqsadlariga, masalan, tashkilotlarning so'ralmagan to'g'ridan-to'g'ri elektron marketingni amalga oshirishi mumkin bo'lgan qo'shimcha talablarga nisbatan qo'llaniladi.
Avstriya ma'lumotlarini himoya qilish idorasi TKG 2003 bo'yicha ma'lumotlar sub'ekti huquqlarining buzilishini ma'muriy jarimalar chiqarish orqali ta'minlaydi, chunki 2003 yildagi Telekommunikatsiyalar to'g'risidagi qonun GDPR uchun lex specialis hisoblanadi .
Avstriya telekommunikatsiya qonuni 2003 (TCA 2003)
14. Cookie va adtech
Cookie-fayllardan foydalanishga kelsak, Avstriyaning 2003 yildagi Telekommunikatsiyalar to'g'risidagi qonuni GDPR uchun maxsus lex deb hisoblanadi . Maʼlumotlar subʼyektlari 2003-yildagi Avstriyaning Telekommunikatsiyalar toʻgʻrisidagi qonunining 96-boʻlimiga muvofiq cookie-fayllardan foydalanish toʻgʻrisida xabardor qilinishi kerak. Avstriya veb-sayt operatorlari zararlangan foydalanuvchilarni har tomonlama xabardor qilishlari va ularning roziligini olishlari shart. Qoidalarni buzish 37 000 evrogacha ma'muriy jarimaga olib kelishi mumkin.

Cookie-fayllardan foydalanishga faqat quyidagi hollarda ruxsat beriladi:

foydalanuvchiga oldindan batafsil ma'lumot beriladi;
cookie-fayllardan foydalanishdan oldin rozilik berilgan; va
rozilik ixtiyoriy, shubhasiz va faol harakat bilan berilgan.
Cookie siyosati brauzer sozlamalari mos ravishda sozlanishi mumkinligini ko'rsatishi mumkin. Sozlamalarni o'zgartirish imkoniyati, agar to'g'ri ma'lum bo'lsa, etarli rozilik deb hisoblanishi mumkin.

15. Xavf shkalasi
Normativ majburiyatlar va ijroning jiddiyligi bilan bog'liq holda, Avstriya xavfi o'rtacha va past.

16. Foydali havolalar
Avstriya telekommunikatsiya qonuni (TCA 2003)
Avstriyaning maʼlumotlarni himoya qilish toʻgʻrisidagi qonuni 2018 (DPA 2018)
Kiberxavfsizlik
1. Mahalliy kiberxavfsizlik qonunlari va qamrovi
Tarmoq va axborot tizimlari xavfsizligi to'g'risidagi qonun ( Netzwerk – und Informationssicherheitsgesetz - NISG) Ittifoq bo'ylab tarmoq va axborot tizimlari xavfsizligining yuqori umumiy darajasiga qaratilgan chora-tadbirlar to'g'risidagi 2016/1148 (Yevropa Ittifoqi) direktivasining amalga oshiruvchi aktidir.

2. Mahalliy qonunlarga kutilayotgan o'zgarishlar
Mahalliy qonunlarda kutilayotgan o'zgarishlar yo'q.

Komissiya tarmoq va axborot tizimlari xavfsizligi bo'yicha qayta ko'rib chiqilgan Direktiva bo'yicha taklifni qabul qildi (NIS 2 Direktivasi)

Komissiya taklifining asosiy elementlari
Komissiyaning yangi taklifi oldingi NIS Direktivasidagi kamchiliklarni bartaraf etish, uni hozirgi ehtiyojlarga moslashtirish va kelajakka moslashtirishga qaratilgan.

Shu maqsadda, Komissiya taklifi joriy NIS Direktivasi doirasini iqtisodiyot va jamiyat uchun qanchalik muhim ekanligidan kelib chiqqan holda yangi tarmoqlarni qo'shish va aniq hajmga asoslangan chegarani joriy etish orqali kengaytiradi, ya'ni tanlangan barcha o'rta va yirik kompaniyalar. tarmoqlar doirasiga kiritiladi. Shu bilan birga, bu a'zo davlatlar uchun yuqori darajadagi xavf profiliga ega bo'lgan kichikroq sub'ektlarni aniqlash uchun bir oz moslashuvchanlikni qoldiradi.

Taklif, shuningdek, muhim xizmatlar operatorlari va raqamli xizmat ko‘rsatuvchi provayderlar o‘rtasidagi farqni ham yo‘q qiladi. Tashkilotlar o'zlarining ahamiyatiga ko'ra tasniflanadi va turli nazorat rejimlariga bo'ysunish natijasida tegishli ravishda muhim va muhim toifalarga bo'linadi.

Taklif qo'llanilishi kerak bo'lgan asosiy xavfsizlik elementlarining minimal ro'yxatini taqdim etuvchi xavflarni boshqarish yondashuvini o'rnatish orqali kompaniyalar uchun xavfsizlik talablarini kuchaytiradi. Taklifda hodisalar haqida xabar berish jarayoni, hisobotlarning mazmuni va muddatlari bo'yicha aniqroq qoidalar kiritilgan.

Bundan tashqari, Komissiya alohida kompaniyalardan ta'minot zanjirlari va etkazib beruvchilar o'rtasidagi munosabatlardagi kiberxavfsizlik risklarini bartaraf etishni talab qilish orqali ta'minot zanjirlari va etkazib beruvchilar munosabatlari xavfsizligini hal qilishni taklif qiladi. Yevropa darajasida taklif asosiy axborot va kommunikatsiya texnologiyalari uchun yetkazib berish zanjiri kiberxavfsizligini kuchaytiradi. A'zo davlatlar Komissiya va ENISA bilan hamkorlikda 5G tarmoqlarining kiberxavfsizligi bo'yicha Komissiya tavsiyasi kontekstida qabul qilingan muvaffaqiyatli yondashuvga asoslanib, muhim ta'minot zanjirlarining muvofiqlashtirilgan risklarini baholashni amalga oshiradilar .

Taklif milliy hokimiyat organlari uchun yanada qat'iy nazorat choralarini, qat'iy ijro talablarini taqdim etadi va a'zo davlatlar bo'ylab sanktsiyalar rejimlarini uyg'unlashtirishga qaratilgan.

Taklif, shuningdek, hamkorlik guruhining rivojlanayotgan texnologiyalar va yangi tendentsiyalar bo'yicha strategik siyosat qarorlarini shakllantirishdagi rolini oshiradi va a'zo davlat organlari o'rtasida axborot almashish va hamkorlikni oshiradi. Shuningdek, u kiber inqirozni boshqarish bo'yicha operativ hamkorlikni kuchaytiradi.

Komissiya taklifi Evropa Ittifoqi bo'ylab yangi ochilgan zaifliklar uchun muvofiqlashtirilgan zaifliklarni oshkor qilish va Evropa Ittifoqining Kiberxavfsizlik Agentligi (ENISA) tomonidan boshqariladigan Evropa Ittifoqi reestrini yaratish bo'yicha mas'ul asosiy ishtirokchilar bilan asosiy asosni o'rnatadi.

3. Ilova
NISG quyidagi sohalardagi muhim xizmatlar (OES) operatorlariga nisbatan qo'llaniladi :

Energiya (elektr energiyasi, neft, tabiiy gaz);
Transport (havo, temir yo'l, suv, avtomobil);
Bank ishi (kredit tashkilotlari);
Moliyaviy bozor infratuzilmalari (savdo maydonchalari, markaziy kontragentlar);
Sog'liqni saqlash (ayniqsa shifoxonalar va xususiy klinikalar);
Ichimlik suvi ta'minoti; va
Raqamli infratuzilma (Internet almashinuv punktlari, DNS xizmat provayderlari, TLD nomlari registrlari).
U qo'shimcha ravishda amal qiladi:

raqamli xizmatlar (PDS) provayderlari (onlayn bozorlar, onlayn qidiruv tizimlari va bulutli hisoblash xizmatlari); va
davlat boshqaruvi organlari .
4. Vakolat
NISning strategik organi - Federal kantsler
Operatsion NIS organi - Federal Ichki ishlar vazirligi
Ma'muriy huquqbuzarliklar bo'yicha organ
§ 26 (2) NISG ga muvofiq, tuman ma'muriy organlari vakolatli hisoblanadi. Ma'muriy huquqbuzarliklar bo'yicha mahalliy yurisdiktsiya muhim xizmatlar operatorining yoki raqamli xizmatlar provayderining asosiy ish joyi, Avstriyada bunday bo'lmasa, vakilning ro'yxatdan o'tgan idorasi tomonidan belgilanadi.
https://www.nis.gv.at
5. Asosiy majburiyatlar
Xavfsizlik choralari
NISG tomonidan xavfsizlik hodisalarining oldini olish, aniqlash, oldini olish va bartaraf etish qobiliyati sifatida belgilangan tarmoq va axborot xavfsizligini ta'minlash.
Texnik va tashkiliy xavfsizlik choralari tegishli, mutanosib bo'lishi, eng zamonaviy talablarga mos kelishi va "oqilona harakat" bilan aniqlangan xavfga adekvat bo'lishi kerak;
PDS qo'shimcha ravishda tizimlar xavfsizligi va bunday axborot xavfsizligini boshqarish tizimlarini joriy etish kabi omillarni hisobga olishi kerak;
OESlar hokimiyat va kompyuter favqulodda guruhlari bilan aloqa o'rnatish uchun kompyuter favqulodda javob guruhini (CERT) yaratishi kerak;
Xavfsizlik hodisalari to'g'risida zudlik bilan milliy kompyuter favqulodda guruhiga xabar berilishi kerak, unda xavfsizlik hodisasi va dastlabki hisobot paytida ma'lum bo'lgan texnik ma'lumotlar, xususan, shubhali yoki haqiqiy sabab, aloqador axborot texnologiyalari va turi haqida barcha tegishli ma'lumotlar mavjud. ob'ekt yoki o'rnatish bilan bog'liq.
6. Sanktsiyalar va rioya qilmaslik
Ma'muriy jazo choralari:
§ 26 (2) NISG ga ko'ra, jinoyat takroriy sodir etilgan taqdirda 50 000 evrogacha yoki 100 000 evrogacha jarima bilan jazolanadi.

Jinoiy sanktsiyalar:
NISGda tartibga solinmagan.

Boshqalar :
NISGda tartibga solinmagan.

7. Milliy kompyuter favqulodda javob guruhi (CERT) yoki kompyuter xavfsizligi hodisalariga javob berish guruhi (CSIRT) bormi?
NISG tarmoq va axborot tizimlari xavfsizligini ta'minlash uchun milliy kompyuter favqulodda guruhini tashkil etishni nazarda tutadi. § 14 NSIG ga muvofiq, Milliy kompyuter favqulodda guruhi va tarmoq kompyuter favqulodda guruhlari OES va PDSlarga yordam berishlari kerak. Davlat boshqaruvi kompyuter favqulodda guruhi (GovCERT) davlat boshqaruvi organlariga xavflarni, hodisalarni va xavfsizlik hodisalarini boshqarishda yordam beradi.

8. Milliy kiberxavfsizlik hodisalarini boshqarish tuzilmasi
Xavfsizlik hodisalari to'g'risida zudlik bilan milliy kompyuter favqulodda guruhiga xabar berilishi kerak, unda xavfsizlik hodisasi va dastlabki hisobot paytida ma'lum bo'lgan texnik ma'lumotlar, xususan, shubhali yoki haqiqiy sabab, aloqador axborot texnologiyalari va turi haqida barcha tegishli ma'lumotlar mavjud. ob'ekt yoki o'rnatish bilan bog'liq.

Agar xavfsizlik hodisasi yuz bersa, bu haqda CERT.at ga kechiktirmasdan xabar qilinadi. Qonun ma'lum bir muddatni nazarda tutmaydi, lekin kuzatuv va yakuniy hisobot ham talab qilinadi va ular "kechiktirmasdan" topshirilishi kerakligi sababli, juda qisqa muddat - bir necha soatdan maksimalgacha 24 soat (hodisaning og'irligiga qarab) - taxmin qilish kerak.

Xavfsizlik hodisasi haqida CERT.at onlayn portali orqali xabardor qilish mumkin: https://nis.cert.at .
Bundan tashqari, hisobotni CERT.at elektron pochta manziliga yuborish orqali ham amalga oshirish mumkin: report@cert.at .
Elektron pochta orqali xabar berishda ma'lumotni quyidagi shaklga kiriting: https://cert.at/media/files/about/contact/files/form_de.txt .
Bundan tashqari, tavsiya etilgan shifrlash va boshqa choralar haqida qo'shimcha ma'lumotni quyidagi veb-saytda topishingiz mumkin: https://cert.at/de/ueber-uns/kontakt
9. Kiberxavfsizlik bo'yicha boshqa tashabbuslar
Avstriyaning Axborot xavfsizligi bo'yicha qo'llanmasi ISO/IEC 27000 kabi umumiy xalqaro standartlarga asoslangan tan olingan axborot xavfsizligi standartlari haqida keng ma'lumot beradi. U davlat boshqaruvi va xususiy sektorda keng qamrovli xavfsizlik konsepsiyalarini amalga oshirishga xizmat qiladi.

Avstriya axborot xavfsizligi bo'yicha qo'llanma: https://www.sicherheitshandbuch.gv.at (nemis)

10. Foydali havolalar
Kompyuterning favqulodda vaziyatlarga javob berish guruhi Avstriya: https://cert.at/de
NIS hisoboti: https://www.govcert.gv.at/nis-meldung/index/index_en.html
Voqea haqida xabar berish shablon: https://cert.at/media/files/about/contact/files/form_de.txt
NISG: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536 (Nemis)
Avstriya axborot xavfsizligi bo'yicha qo'llanma: https://www.sicherheitshandbuch.gv.at (nemis)

Yüklə 60,03 Kb.

Dostları ilə paylaş:

1 2