10 małych kroków w dziedzinie bezpieczeństwa i ochrony danych
Download
Report
Transcript 10 małych kroków w dziedzinie bezpieczeństwa i ochrony danych
Dariusz Fabicki
Fabicki.PL
Materiały źródłowe udostępnione za zgodą:
dr inż. Andrzej Wójcik
dr Jan Wierzbicki
Warszawa, 4 marca 2013 r.
Krok 1 – Wydziel 3 obszary
Fizyczne
Bezpieczeństwo
Prawne
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Finansowe
Bezpieczeństwo
prawne
•Przeczytaj przepisy
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo
prawne. Pierwszy krok
• Obowiązkowa Klasyfikacja
Informacji
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne.
Drugi krok
• Obowiązkowy wybór trybu pracy
systemu teleinformatycznego
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne.
Trzeci krok
• Obowiązkowe procedury dla cyklu
pracy systemu
teleinformatycznego
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo
prawne. Przeczytaj
ustawy i rozporządzenia
Kluczowe ustawy
• Ustawa z dnia 7 lipca 1994 r - Prawo budowlane
(Dz.U. 1994 nr 89 poz. 414 z późn. zm.).
• Dopuszczalne poziomy hałasu według normy PN87-B-02151-02 dla pomieszczenia do pracy
umysłowej wymagającej silnej koncentracji i
uwagi.
• Ustawa z dnia 17 lutego 2005 r. o informatyzacji
działalności podmiotów realizujących zadania
publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.).
Kluczowe ustawy
• Rozporządzenie Prezesa Rady Ministrów z dnia 20
lipca 2011 roku w sprawie podstawowych
wymagań bezpieczeństwa teleinformatycznego
(Dz.U.2011.159.948).
• Rozporządzenie Rady Ministrów z dnia 12
kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych
wymagań dla systemów teleinformatycznych
(Dz.U. 2012 nr 0 poz. 526).
Kluczowe ustawy
• Ustawa z dnia 5 sierpnia 2010 r. O ochronie
informacji niejawnych (Dz.U. 2010 nr 182 poz.
1228).
• Rozporządzenie Prezesa Rady Ministrów z
dnia 29 maja 2012r. w sprawie środków
bezpieczeństwa fizycznego stosowanych do
zabezpieczania informacji niejawnych
(Dz.U.2012.683).
Kluczowe ustawy
• Rozporządzenie Rady Ministrów z dnia 30
kwietnia 2010r. w sprawie Narodowego
Programu Ochrony Infrastruktury Krytycznej
(Dz.U.2010.83.541),
• Rozporządzenie Rady Ministrów z dnia 30
kwietnia 2010r. w sprawie planów ochrony
infrastruktury krytycznej (Dz.U.2010.83.542);
Kluczowe ustawy
• Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 21.04.2011 roku w sprawie
szczegółowych warunków organizacyjnych i
technicznych, które powinien spełniać system
teleinformatyczny służący do identyfikacji
użytkowników (Dz.U.2011.93.545)
• Rozporządzenie Prezesa Rady Ministrów z dnia
20.07.2011 roku w sprawie wzoru świadectwa
akredytacji bezpieczeństwa systemu
teleinformatycznego (Dz.U.2011.156.926)
Kluczowe ustawy
• Ustawa z dnia 30 sierpnia 2011 r. o zmianie
ustawy o stanie wojennym oraz o
kompetencjach Naczelnego Dowódcy Sił
Zbrojnych i zasadach jego podległości
konstytucyjnym organom Rzeczypospolitej
Polskiej oraz niektórych innych ustaw
(Dz.U.2011 nr 222 poz. 1323)
Kluczowe ustawy
• Rozporządzenie Prezesa Rady Ministrów z 14
września 2011 r. w sprawie sporządzania pism
w formie dokumentów elektronicznych,
doręczania dokumentów elektronicznych,
oraz udostępniania formularzy, wzorów i
kopii dokumentów elektronicznych (Dz. U. Nr
206, poz. 1216)
Kluczowe ustawy
• Rządowy Program Ochrony Cyberprzestrzeni
RP na lata 2011-2016
(http://bip.msw.gov.pl/portal/bip/6/19057)
Kluczowe ustawy
• Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia
29.04.2004 roku w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do
przetwarzania danych osobowych
(Dz.U.2004.100.1024)
Kluczowe ustawy
• Ustawa z dnia 27 lipca 2001 roku o ochronie
baz danych (Dz.U.2001.128.1402)
• Ustawa o ochronie danych osobowych z dnia
29 sierpnia 1997 r. (Dz. U. Nr 133 poz. 883 z
późn. zmianami),
• Ustawa z dnia 22 sierpnia 1997 r. o ochronie
osób i mienia (Dz.U.2005.145.1221 z późn.
zmianami)
Kluczowe ustawy
• Obwieszczenie Marszałka Sejmu Rzeczypospolitej
Polskiej z dnia 26 lipca 2005 r. w sprawie
ogłoszenia jednolitego tekstu ustawy o ochronie
osób i mienia (Dz.U. 2005 nr 145 poz. 1221).
• Ustawa z dnia 23 maja 2002 r. o zmianie ustawy o
ochronie osób i mienia (Dz.U. 2002 nr 71
poz. 656).
• Ustawa o ochronie osób i mienia z dnia 26
września 1997 r. w zakresie korzystania z usług
koncesjonowanych podmiotów realizujących
usługi ochrony mienia i osób (Dz.U.97.114.740).
Kluczowe ustawy
• Ustawa z dnia 23 maja 2002 r. o zmianie
ustawy o ochronie osób i mienia (Dz.U. 2002
nr 71 poz. 656).
• Ustawa o ochronie osób i mienia z dnia 26
września 1997 r. w zakresie korzystania z usług
koncesjonowanych podmiotów realizujących
usługi ochrony mienia i osób
(Dz.U.97.114.740).
Kluczowe ustawy
• Ustawa z dnia 26 kwietnia 2007r. o
zarządzaniu kryzysowym (Dz.U.2007.89.590 z
późn. zm.);
• Ustawa z dnia 29 października 2010 o zmianie
ustawy o zarządzaniu kryzysowym
(Dz.U.2010.24.1600)
Kluczowe ustawy
• Ustawa z dnia 7 września 1991 r. o systemie
oświaty (Dz.U. 1991 nr 95 poz. 425, tekst
jednolity Dz.U z 2004 roku nr 256, poz.2572 z
późniejszymi zmianami).
Kluczowe ustawy
• Rozporządzenie Ministra Edukacji Narodowej z dnia 8
marca 2012 r. w sprawie minimalnych wymagań
technicznych dla sprzętu przeznaczonego do obsługi
oprogramowania służącego prowadzeniu lokalnych baz
danych SIO, udostępnianego przez ministra właściwego
do spraw oświaty i wychowania, warunków
technicznych, jakie powinno spełniać inne niż
udostępniane przez ministra właściwego do spraw
oświaty i wychowania oprogramowanie służące
prowadzeniu lokalnych baz danych SIO, wydawania
certyfikatu zgodności z SIO, a także warunków
technicznych przekazywania i pozyskiwania danych z
bazy danych SIO (Dz.U. 2012 nr 0 poz. 321)
Kluczowe ustawy
• Rozporządzenie Ministra Edukacji Narodowej z
dnia 24 kwietnia 2012 r. w sprawie procedury
weryfikacji dostępu do bazy danych systemu
informacji oświatowej (Dz.U. 2012 nr 0 poz.
466)
Bezpieczeństwo
prawne. Pierwszy krok
• Obowiązkowa Klasyfikacja
Informacji
Obowiązkowa klasyfikacja informacji
• klasyfikację informacji w organizacji
administracji państwowej należy
przeprowadzić zgodnie z obowiązującymi
wymaganiami prawnymi
Wytyczne w tym zakresie zawarte są w
Ustawie o ochronie informacji niejawnych z dnia
5 sierpnia 2010 r. (Dz.U.2010.182.1228)
Obowiązkowa klasyfikacja informacji
• Informacje niejawne zgodnie z cytowaną
ustawą dzielimy na:
• Ściśle tajne
• Tajne
• Poufne
• Zastrzeżone
Rozdział 2 ustawy o ochronie informacji niejawnych
Klasyfikowanie informacji niejawnych
• Art. 5.
1. Informacjom niejawnym nadaje się klauzulę
„ściśle tajne”, jeżeli ich nieuprawnione ujawnienie
spowoduje wyjątkowo poważną szkodę dla
Rzeczypospolitej Polskiej przez to, że:
1) zagrozi niepodległości, suwerenności lub
integralności terytorialnej Rzeczypospolitej Polskiej;
2) zagrozi bezpieczeństwu wewnętrznemu lub
porządkowi konstytucyjnemu
Rzeczypospolitej Polskiej;
zagrozi sojuszom lub pozycji międzynarodowej
Rzeczypospolitej Polskiej;
4) osłabi gotowość obronną Rzeczypospolitej Polskiej;
5) doprowadzi lub może doprowadzić do identyfikacji
funkcjonariuszy, żołnierzy lub pracowników służb
odpowiedzialnych za realizację zadań wywiadu lub
kontrwywiadu, którzy wykonują czynności operacyjnorozpoznawcze, jeżeli zagrozi to bezpieczeństwu
wykonywanych czynności lub może doprowadzić do
identyfikacji osób udzielających im pomocy w tym
zakresie;
zagrozi lub może zagrozić życiu lub zdrowiu
funkcjonariuszy, żołnierzy lub pracowników, którzy
wykonują czynności operacyjno-rozpoznawcze, lub
osób udzielających im pomocy w tym zakresie;
7) zagrozi lub może zagrozić życiu lub zdrowiu
świadków koronnych lub osób dla nich najbliższych
albo świadków, o których mowa w art. 184 ustawy z
dnia 6 czerwca 1997r. – Kodeks postępowania
karnego (Dz. U. Nr 89, poz. 555, z późn. zm.5)), lub
osób dla nich najbliższych.
Rozdział 2 ustawy o ochronie informacji niejawnych
Klasyfikowanie informacji niejawnych
• Informacjom niejawnym nadaje się klauzulę „tajne”,
jeżeli ich nieuprawnione ujawnienie spowoduje
poważną szkodę dla Rzeczypospolitej Polskiej przez to,
że:
1) uniemożliwi realizację zadań związanych z ochroną
suwerenności lub porządku konstytucyjnego
Rzeczypospolitej Polskiej;
2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi
państwami lub organizacjami międzynarodowymi;
3) zakłóci przygotowania obronne państwa lub
funkcjonowanie Sił Zbrojnych
utrudni wykonywanie czynności operacyjnorozpoznawczych prowadzonych w celu zapewnienia
bezpieczeństwa państwa lub ścigania sprawców
zbrodni przez służby lub instytucje do tego
uprawnione;
5) w istotny sposób zakłóci funkcjonowanie
organów ścigania i wymiaru sprawiedliwości;
6) przyniesie stratę znacznych rozmiarów w
interesach ekonomicznych Rzeczypospolitej
Polskiej.
Rozdział 2 ustawy o ochronie informacji niejawnych
Klasyfikowanie informacji niejawnych
• Informacjom niejawnym nadaje się klauzulę
„poufne”, jeżeli ich nieuprawnione ujawnienie
spowoduje szkodę dla Rzeczypospolitej
Polskiej przez to, że:
1) utrudni prowadzenie bieżącej polityki
zagranicznej Rzeczypospolitej Polskiej;
2) utrudni realizację przedsięwzięć obronnych
lub negatywnie wpłynie na zdolność bojową Sił
Zbrojnych Rzeczypospolitej Polskiej;
zakłóci porządek publiczny lub zagrozi
bezpieczeństwu obywateli;
4) utrudni wykonywanie zadań służbo m lub
instytucjom odpowiedzialnym za ochronę
bezpieczeństwa lub podstawowych interesów
Rzeczypospolitej Polskiej;
5) utrudni wykonywanie zadań służbom lub
instytucjom odpowiedzialnym za ochronę porządku
publicznego, bezpieczeństwa obywateli lub ściganie
sprawców przestępstw i przestępstw skarbowych
oraz organom wymiaru sprawiedliwości;
zagrozi stabilności systemu finansowego
Rzeczypospolitej Polskiej;
7) wpłynie niekorzystnie na funkcjonowanie
gospodarki narodowej.
Rozdział 2 ustawy o ochronie informacji niejawnych
Klasyfikowanie informacji niejawnych
• Informacjom niejawnym nadaje się klauzulę
„zastrzeżone”, jeżeli nie nadano im wyższej
klauzuli tajności, a ich nieuprawnione ujawnienie
może mieć szkodliwy wpływ na wykonywanie
przez organy władzy publicznej lub inne jednostki
organizacyjne zadań w zakresie obrony
narodowej, polityki zagranicznej, bezpieczeństwa
publicznego, przestrzegania praw i wolności
obywateli, wymiaru sprawiedliwości albo
interesów ekonomicznych Rzeczypospolitej
Polskiej.
Bezpieczeństwo prawne.
Drugi krok
• Obowiązkowy wybór trybu pracy
systemu teleinformatycznego
Obowiązkowy wybór tryby pracy
systemu teleinformatycznego
• Podstawy założeń bezpieczeństwa
teleinformatycznego dla nowo budowanych
lub modernizowanych systemów
informatycznych
Wytyczne w tym zakresie zawarte są w
w Rozporządzeniu Prezesa Rady Ministrów z
dnia 20 lipca 2011 r. w sprawie podstawowych
wymagań bezpieczeństwa teleinformatycznego
(Dz.U.2011.159.948)
Obowiązkowy wybór tryby pracy
systemu teleinformatycznego
• § 3 rozporządzenia.
• Ze względu na posiadane przez użytkowników
systemu teleinformatycznego uprawnienia
dostępu do informacji niejawnych system
teleinformatyczny przeznaczony do
przetwarzania informacji niejawnych może
funkcjonować w jednym z następujących
trybów bezpieczeństwa pracy:
Obowiązkowy wybór tryby pracy
systemu teleinformatycznego
• dedykowanym — w którym spełnione są łącznie
następujące warunki:
a) wszyscy użytkownicy posiadają uprawnienie
do dostępu do informacji niejawnych o
najwyższej klauzuli tajności, jakie mogą być
przetwarzane w tym systemie
teleinformatycznym,
• b) wszyscy użytkownicy mają uzasadnioną
potrzebę dostępu do wszystkich informacji
niejawnych przetwarzanych w systemie
teleinformatycznym;
Obowiązkowy wybór tryby pracy
systemu teleinformatycznego
• systemowym — w którym spełnione są łącznie
następujące warunki:
a) wszyscy użytkownicy posiadają uprawnienie
do dostępu do informacji niejawnych o
najwyższej klauzuli tajności, jakie mogą być
przetwarzane w tym systemie
teleinformatycznym,
• b) nie wszyscy użytkownicy mają uzasadnioną
potrzebę dostępu do wszystkich informacji
niejawnych przetwarzanych w systemie
teleinformatycznym;
Obowiązkowy wybór tryby pracy
systemu teleinformatycznego
• wielopoziomowym — w którym spełnione są
łącznie następujące warunki:
a) nie wszyscy użytkownicy posiadają
uprawnienie do dostępu do informacji
niejawnych o najwyższej klauzuli tajności, jakie
mogą być przetwarzane w tym systemie
teleinformatycznym,
• b) nie wszyscy użytkownicy mają uzasadnioną
potrzebę dostępu do wszystkich informacji
niejawnych przetwarzanych w systemie
teleinformatycznym.
Bezpieczeństwo prawne.
Trzeci krok
• Obowiązkowe procedury dla cyklu
pracy systemu
teleinformatycznego
Cykl przetwarzania informacji niejawnych
w systemie teleinformatycznym
• Cykl przetwarzania informacji niejawnych w
systemie teleinformatycznym powinien
przebiegać zgodnie z zapisami § 18
rozporządzenia.
Cykl przetwarzania informacji niejawnych
w systemie teleinformatycznym
• Bezpieczeństwo informacji niejawnych
przetwarzanych w systemie teleinformatycznym
uwzględnia się w całym cyklu funkcjonowania
systemu teleinformatycznego, składającym się z
etapów:
1) planowania;
2) projektowania;
3) wdrażania;
4) eksploatacji;
5) wycofywania.
Na etapie planowania ustala się potrzeby w zakresie
przetwarzania informacji niejawnych w systemie
teleinformatycznym, w szczególności określa się
1) przeznaczenie systemu teleinformatycznego;
2) maksymalną klauzulę tajności informacji
niejawnych, które będą przetwarzane w
systemie teleinformatycznym;
3) tryb bezpieczeństwa pracy systemu
teleinformatycznego;
4) szacunkową liczbę użytkowników;
5) planowaną lokalizację.
Na etapie projektowania:
1) przeprowadza się wstępne szacowanie ryzyka dla bezpieczeństwa
informacji niejawnych w celu określenia wymagań dla zabezpieczeń;
2) dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego
w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa
informacji niejawnych;
3) uzgadnia się z podmiotem akredytującym plan akredytacji
obejmujący zakres i harmonogram przedsięwzięć wymaganych do
uzyskania akredytacji bezpieczeństwa teleinformatycznego;
4) uzgadnia się z podmiotem zaopatrującym w klucze kryptograficzne
rodzaj oraz ilość niezbędnych urządzeń lub narzędzi
kryptograficznych, a także sposób ich wykorzystania;
5) opracowuje się dokument szczególnych wymagań bezpieczeństwa
Na etapie wdrażania:
1) pozyskuje i wdraża się urządzenia lub narzędzia realizujące
zabezpieczenia w systemie teleinformatycznym;
2) przeprowadza się testy bezpieczeństwa systemu
teleinformatycznego;
3) przeprowadza się szacowanie ryzyka dla bezpieczeństwa
informacji niejawnych z uwzględnieniem wprowadzonych
zabezpieczeń;
4) opracowuje się dokument procedur bezpiecznej
eksploatacji oraz uzupełnia dokument szczególnych wymagań
bezpieczeństwa;
5) system teleinformatyczny poddaje się akredytacji
bezpieczeństwa teleinformatycznego
Na etapie eksploatacji:
1) utrzymuje się zgodność systemu
teleinformatycznego z jego dokumentacją
bezpieczeństwa;
2) zapewnia się ciągłość procesu zarządzania
ryzykiem w systemie teleinformatycznym;
3) okresowo przeprowadza się testy bezpieczeństwa
w celu weryfikacji poprawności działania
poszczególnych zabezpieczeń oraz usuwa
stwierdzone nieprawidłowości;
Na etapie eksploatacji:
4) w zależności od potrzeb wprowadza się zmiany do systemu
teleinformatycznego oraz, jeżeli jest to właściwe, wykonuje
testy bezpieczeństwa, a także uaktualnia dokumentację
bezpieczeństwa systemu teleinformatycznego, przy czym
modyfikacje mogące mieć wpływ na bezpieczeństwo systemu
teleinformatycznego wymagają zgody podmiotu, który udzielił
akredytacji bezpieczeństwa teleinformatycznego, zaś w
przypadku systemów teleinformatycznych, o których mowa w
art. 48 ust. 9 i 10 ustawy — przekazania, odpowiednio do ABW
albo SKW, w terminie 30 dni od wprowadzenia wyżej
wymienionych modyfikacji, uaktualnionej dokumentacji
bezpieczeństwa systemu teleinformatycznego, w szczególności
w formie aneksów.
Na etapie wycofywania:
1) zaprzestaje się eksploatacji systemu teleinformatycznego;
2) powiadamia się pisemnie ABW albo SKW o wycofaniu
systemu z eksploatacji;
3) zwraca się do ABW albo SKW świadectwo akredytacji
bezpieczeństwa systemu teleinformatycznego, jeżeli system
teleinformatyczny przeznaczony był do przetwarzania
informacji niejawnych o klauzuli „poufne" lub wyższej;
4) usuwa się informacje niejawne z systemu
teleinformatycznego, w szczególności przez przeniesienie ich
do innego systemu teleinformatycznego, zarchiwizowanie lub
zniszczenie informatycznych nośników danych.
Bezpieczeństwo
Finansowe
Bezpieczeństwo Finansowe
•Zaplanuj w budżecie środki na
zapewnienie bezpiecznego
funkcjonowania systemu
teleinformatycznego
Bezpieczeństwo Finansowe
•Unikaj podwójnego finansowania
(nie kupuj tego co już masz po
raz drugi)
Bezpieczeństwo Finansowe
• Zaplanuj w budżecie środki na zapewnienie
bezpiecznego funkcjonowania systemu
teleinformatycznego w perspektywie:
• krótko
• średnio
• długoterminowej
Przykład (oprogramowanie systemowe)
• Licencjonowanie
– Czy każde zakupione oprogramowanie systemowe
wymaga regularnych opłat subskrypcyjnych?
– Czy każde zakupione oprogramowanie systemowe
wymaga dodatkowych opłat w wypadku ponownej
instalacji po awarii/kradzieży sprzętu?
Przykład (oprogramowanie użytkowe)
• Licencjonowanie
– Czy każde zakupione oprogramowanie użytkowe
wymaga regularnych opłat subskrypcyjnych?
– Czy każde zakupione oprogramowanie użytkowe
wymaga dodatkowych opłat w wypadku ponownej
instalacji po awarii/kradzieży sprzętu?
Przykład (oprogramowanie antywirusowe)
• Licencjonowanie
– Czy każde zakupione oprogramowanie
antywirusowe wymaga regularnych opłat
subskrypcyjnych?
– Czy każde zakupione oprogramowanie
oprogramowanie wymaga dodatkowych opłat w
wypadku ponownej instalacji po awarii/kradzieży
sprzętu?
Przykład (awarie i amortyzacja sprzętu)
• Awarie i inne incydenty są nieuniknione
– Zaplanuj wysokość obowiązkowej rezerwy
związanej z utrzymaniem bezpieczeństwa pracy
systemu teleinformatycznego
Subskrypcja
• System sprzedaży, zazwyczaj połączony z
pewnymi przywilejami dla subskrybentów,
które zobowiązały się podpisem do ich
wykupu i dokonały przedpłaty
Dzierżawa
• Polega na udostępnieniu innej osobie prawa
lub rzeczy, natomiast (w odróżnieniu np. od
pożyczki) nie przenosi własności. Przedmiotem
dzierżawy może być tylko rzecz lub prawo
przynoszące pożytki
(Reguluje ją Kodeks cywilny w art. 693-709)
Bezpieczeństwo
fizyczne
To może nas spotkać i kiedyś pewnie spotka:
• Kradzież sprzętu i oprogramowania
• Utraciliśmy wszystkie pliki, przy których tak długo
pracowaliśmy
• Musimy natychmiast bezpiecznie przesłać poufny plik do
kierownika
• Chyba mamy zawirusowany komputer, to koniec nie można
usunąć wirusa
• Laptop za wolno pracuje, denerwuje mnie to …
• Musiałem wyjść na chwilę i zastawiłem włączony laptop w
biurze …. a ten kolega … hym
• ….
Bezpieczeństwo fizyczne i infrastruktury
• Informacja jest cennym i pożądanym
dobrem, a jej wartość jest uzależniona od
tego, kto, kiedy i w jakim celu jej
potrzebuje.
Bezpieczeństwo fizyczne i infrastruktury
• Wymagania prawne nakładające na Kierownictwo Organizacji
obowiązek podjęcia szeregu działań o charakterze organizacyjno –
technicznym w zakresie ochrony informacji (ustawa o ochronie
danych osobowych oraz ustawa o ochronie informacji niejawnych, a
także wymagania związane z tajemnicami zawodowymi „tajemnice
prawnie chronione” – bankowa, lekarska, wynalazcza itd..);
• Wymagania związane z ochroną informacji wrażliwej dla organizacji
(Ustawa z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji
Dz.U. nr 47, poz. 211 z 1993 z póź. zm.);
Ustawa o ABW i AW, CBA
Kodeks Pracy
Art. 100
§2, ust. 4. Pracownik jest zobowiązany w
szczególności dbać o dobro zakładu pracy,
chronić jego mienie oraz zachowywać w
tajemnicy informację, których ujawnienie
mogłoby narazić pracodawcę na szkodę.
Ustawa o zwalczaniu nieuczciwej konkurencji
Art. 11.
§1 Czynem
przekazanie,
ujawnienie lub wykorzystanie cudzych informacji stanowiących
tajemnicę przedsiębiorstwa albo ich nabycie od osoby
nieuprawnionej, jeżeli zagraża lub narusza interes
nieuczciwej
konkurencji
jest
przedsiębiorcy
§2 Przepis ust. 1 stosuje się również do osoby, która
świadczyła pracę na podstawie stosunku pracy lub innego
stosunku prawnego - przez okres trzech lat od jego ustania,
chyba że umowa stanowi inaczej albo ustał stan tajemnicy.
§4. Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione
do
wiadomości
publicznej
informacje
techniczne,
technologiczne, organizacyjne przedsiębiorstwa lub inne
informacje posiadające wartość gospodarczą, co do których
przedsiębiorca podjął niezbędne działania w celu zachowania
ich poufności.
Ustawa o zwalczaniu nieuczciwej konkurencji.
Art.18
W razie dokonania czynu nieuczciwej konkurencji
przedsiębiorca, którego interes został naruszony
lub zagrożony może żądać:
- zaniechania niedozwolonych działań;
- usunięcia skutków niedozwolonych działań;
- złożenia oświadczenia o odpowiedniej treści;
- naprawienia wyrządzonej szkody;
- wydanie bezpodstawnie uzyskanych korzyści.
Przepisy Kodeksu Karnego
Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla
niego nie przeznaczoną, otwierając zamknięte pismo,
podłączając się do przewodu służącego do
przekazywania
informacji
lub
przełamując
elektroniczne, magnetyczne albo inne szczególne jej
zabezpieczenie, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania
informacji, do której nie jest uprawniony, zakłada lub
posługuje się urządzeniem podsłuchowym, wizualnym
albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną
w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3
następuje na wniosek pokrzywdzonego.
Przepisy Kodeksu Karnego
Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy,
uszkadza, usuwa lub zmienia zapis istotnej informacji
albo w inny sposób udaremnia lub znacznie utrudnia
osobie uprawnionej zapoznanie się z nią, podlega
grzywnie,
karze
ograniczenia
wolności
albo
pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na
komputerowym nośniku informacji, sprawca podlega
karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1
lub 2, wyrządza znaczną szkodę majątkową, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3
następuje na wniosek pokrzywdzonego.
Przepisy Kodeksu Karnego
Art. 269.
§ 1. Kto, na komputerowym nośniku informacji,
niszczy, uszkadza, usuwa lub zmienia zapis o
szczególnym znaczeniu dla obronności kraju,
bezpieczeństwa w komunikacji, funkcjonowania
administracji rządowej, innego organu państwowego
lub administracji samorządowej albo zakłóca lub
uniemożliwia
automatyczne
gromadzenie
lub
przekazywanie takich informacji, podlega karze
pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu
określonego w § 1, niszcząc albo wymieniając nośnik
informacji lub niszcząc albo uszkadzając urządzenie
służące automatycznemu przetwarzaniu, gromadzeniu
lub przesyłaniu informacji.
Przepisy Kodeksu Karnego
Art. 266.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na
siebie zobowiązaniu, ujawnia lub wykorzystuje
informację, z którą zapoznał się w związku z pełnioną
funkcją, wykonywaną pracą, działalnością publiczną,
społeczną, gospodarczą lub naukową, podlega
grzywnie,
karze
ograniczenia
wolności
albo
pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie
nieuprawnionej informację stanowiącą tajemnicę
służbową lub informację, którą uzyskał w związku z
wykonywaniem czynności służbowych, a której
ujawnienie może narazić na szkodę prawnie chroniony
interes, podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1
następuje na wniosek pokrzywdzonego.
Ustawa o zwalczaniu nieuczciwej konkurencji.
Art. 23
Kto wbrew ciążącemu na nim obowiązkowi w stosunku
do
przedsiębiorcy
ujawnia
innej
osobie
lub
wykorzystuje we własnej działalności gospodarczej
informacje stanowiącą tajemnicę przedsiębiorstwa,
jeżeli wyrządza to poważną szkodę przedsiębiorcy,
podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
Inne wybrane regulacje prawne
•
Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010r.
Tajemnica Zawodowa
Art. 171
§5 Prawa Bankowego.
Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub
wykorzystuje informacje stanowiące tajemnicę bankową, nie zgodnie z
upoważnieniem określonym w ustawie podlega grzywnie do 1 miliona
złotych i karze pozbawienia wolności do lat 3.
Art. 306
§1. Ordynacji podatkowej
Kto, będąc obowiązany do zachowania tajemnicy skarbowej, ujawnia
informacje objęte tajemnicą, podlega karze pozbawienia wolności do lat 5.
• PN-ISO/IEC 27001:2007 „
Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania
bezpieczeństwem informacji
- Wymagania”
(przeznaczona do certyfikowania
systemów zarządzania
bezpieczeństwem informacji)
•
•
•
•
•
•
•
•
A.6.1.5. Umowy o zachowaniu poufności. Zabezpieczenie Wymagania dla umów o
zachowaniu poufności i nieujawnianiu informacji odzwierciedlające potrzeby
organizacji w zakresie ochrony informacji powinny być określone i regularnie
przeglądane.
A.9.2.5. Bezpieczeństwo sprzętu poza siedzibą. Zabezpieczenie Sprzęt pozostający
poza siedzibą powinien być chroniony przy uwzględnieniu ryzyk związanych z pracą
poza siedzibą organizacji.
A.10.8.4. Wiadomości elektroniczne. Zabezpieczenie Informacje zawarte w
wiadomościach elektronicznych powinny być odpowiednio zabezpieczone.
A.10.4.1. Zabezpieczenia przed kodem złośliwym. Zabezpieczenie Zabezpieczenia
zapobiegające, wykrywające i usuwające kod złośliwy oraz właściwe procedury
uświadamiania użytkowników powinny być wdrożone.
A.10.5.1. Zapasowe kopie informacji. Zabezpieczenie Kopie zapasowe informacji i
oprogramowania powinny być regularnie tworzone i testowane zgodnie z ustaloną
polityką wykonywania kopii zapasowych.
A.11.2.3. Zarządzanie hasłami użytkowników. Zabezpieczenie Przydzielanie haseł
powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania.
A.11.3.1. Używanie haseł. Zabezpieczenie Podczas wyboru i używania haseł
użytkownicy powinni postępować zgodnie ze sprawdzonymi praktykami
bezpieczeństwa.
A.11.3.2. Pozostawienie sprzętu użytkownika bez opieki. Zabezpieczenie
Użytkownicy powinni zapewnić odpowiednią ochronę sprzętu pozostawionego bez
opieki.
Bezpieczeństwo
fizyczne
Obowiązki
Obowiązkowe szyfrowanie danych
• W urządzeniach pracodawcy i pracowników,
na których przechowywane są informacje o
statusie zgodnym z przyjętą polityką
bezpieczeństwa (polityka jest obowiązkowa)
Uwaga
System szyfrowania plików nie jest w pełni obsługiwany w systemach Windows 7 Starter,
Windows 7 Home Basic i Windows 7 Home Premium, Vista Home Premium i Home Basic,
Windows XP Home. Dostępne tylko w wersjach Windows Professional i Ultimate
TrueCrypt
Szyfrowanie danych. Program
może zaszyfrować zawartość
całego dysku, wybranej
partycji lub dysków
przenośnych. Szyfrowanie
odbywa się za pomocą
algorytmów AES-256,
Blowfish, CAST5, Serpent,
Triple DES i Twofish.
http://www.truecrypt.org
Dla domu ale nie dla szkoły
Program Microsoft
Security Essentials jest
dostępny dla
wszystkich
użytkowników
korzystających z
oryginalnego systemu
operacyjnego
Windows i oferuje
funkcje zabezpieczeń
przed złośliwymi
zagrożeniami, takimi
jak wirusy, konie
trojański,
oprogramowanie
szpiegowskie i inne.
http://www.microsoft.com/plpl/security_essentials/ProductInformation.aspx
Powtarzamy do znudzenia
1.
2.
3.
4.
5.
6.
7.
8.
9.
Stosuj silne hasła, trudne do odgadnięcia i złamania
przez programy do łamania haseł.
Włącz automatyczne aktualizacje systemu.
Włącz zaporę ogniową (firewall) wbudowaną w system.
Zainstaluj program antywirusowy.
Regularnie skanuj cały komputer programem
antywirusowym.
Łącz się z internetem wykorzystując zaporę firewall
programową lub sprzętową (np. router z funkcją
firewall).
Konto o uprawnieniach administratora używaj tylko do
zadań wymagających pełnych uprawnień.
Systematycznie wykonuj kopie zapasowe
najważniejszych plików i partycji dysku systemu.
Wyłącz niepotrzebne usługi.
Procedury umieszczania informacji na
szkolnej stronie internetowej,
Proces
Wydarzenie
Informacja
Treść
Sprawdź
Korekta
Czytaj
Zatwierdź
Odpowiedzialność
Wiadomość
Autorzy
Redaktorzy
Wydawcy
Elektroniczny nadzór i śledzenie
procesu decyzji w szkole
http://www.redmine.org/
Nowy zadanie do
wykonania
Pracownik
Pracownik
Pracownik
Pracuję nad tym
Pracownik
Ekspert
Mam pytanie
Zakończyłem
Zlecający
zadanie
Zlecający zadanie
Wyjaśnienie
Pracownik
Akceptacja
Kierownik
Do korekty
Akceptacja
Zlecającego
zadanie
Zlecający zadanie
©
Pracownik jednym kliknięciem uaktualnia
Status zagadnienia (zadania), wpisując
ewentualne pytania do zlecającego zadanie
Pracownik po wejściu do zadania może
przeczytać odpowiedź. Widoczna jest cała
historia korespondencji.
Powiadomienia o otrzymaniu wiadomości od
zlecającego zadanie do wykonania są
również wysyłane na skrzynkę E-mail
Twoja infrastruktura Twoim Alibi
• Ile czasu trzymać logi?
• Co kiedy nie mam logów?
Który dokument jest dobry?
Kto poprawił dokument?
•
•
•
•
•
Gdzie jest wersja z wczoraj?
Gdzie jest wersja z przedwczoraj?
Gdzie jest wersja z przed tygodnia?
Gdzie jest wersja z przed miesiąca?
Gdzie jest wersja z przed pół roku
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Dziękuję za uwagę
Warszawa, 4 marca 2013 r.