Regulacje prawne. Artur Sierszeń

Transkrypt

1 Regulacje prawne Artur Sierszeń

2 Regulacje prawne Wymienione zastaną regulacje prawne związane z bezpieczeństwem systemów teleinformatycznych Poza wymienionymi istnieje też szereg innych przepisów i zarządzeń, które regulują już szczegółowo dane zakresy tematyczne. Przykład: Rekomendacja D Generalnego Inspektoratu Nadzoru Bankowego (która określa obowiązek prowadzenia audytu systemów informatycznych w sektorze bankowym) 2

3 Konstytucja Rzeczypospolitej Polskiej Konstytucja Rzeczypospolitej Polskiej, tekst uchwalony w dniu 2 kwietnia 1997 r. przez Zgromadzenie Narodowe, rozdział II Wolności, prawa i obowiązki człowieka i obywatela, Wolności i prawa osobiste (art. 47, 49, 51). 3

4 Ustawa o rachunkowości. Ustawa z dnia 29 września 1994r. o rachunkowości, Dz.U. nr 121, poz. 591, z późniejszymi zmianami (34 akty zmieniające). Ustawa ta zawiera wymogi nałożone na osoby prowadzące księgi rachunkowe za pomocą systemów informatycznych. Usługodawca nadaje szczególne znaczenie bezpieczeństwu danych, a także zrównuje moc dowodową zapisu elektronicznego z zapisem tradycyjnym. Istnieją zapisy dotyczące technologii informatycznego przetwarzania danych, dotyczące kontroli ciągłości zapisów, wielowymiarowości analizy i klasyfikacji zdarzeń. Na chwilę obecną nie ma odniesienie do standardów międzynarodowych dotyczących audytu informatycznego. 4

5 Ustawa o ochronie danych osobowych (1/3) Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych, Dz.U. nr 133, poz. 883 (zmiany: Dz.U nr 110, poz. 1255, Dz.U nr 12, poz. 136, Dz.U nr 50, poz. 580, Dz.U nr 116, poz. 1216, Dz.U nr 42, poz. 474, Dz.U nr 49, poz. 509, Dz.U nr 100, poz. 1087, Dz.U nr 74, poz. 676, Dz.U nr 153, poz. 1271, Dz.U nr 25, poz. 219, Dz.U nr 33, poz. 285). Wprowadzone są poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym takie jak: poziom podstawowy, podwyższony i wysoki, zakwalifikowanie danych do któregokolwiek z nich zależy od kategorii przetwarzanych danych i istniejących zagrożeń. 5

6 Ustawa o ochronie danych osobowych (2/3) Administrator danych musi dostosować system informatyczny do wytycznych, a system informatyczny powinien spełniać określone wymogi. Niezbędnym działaniem jest ocena ryzyka w celu określenia potrzeb w zakresie zabezpieczenia zbiorów przetwarzanych danych. Również poważnym wymogiem jest monitorowanie działania wdrożonych zabezpieczeń w celu ochrony danych i ich przetwarzania. 6

7 Ustawa o ochronie danych osobowych (3/3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji, w sprawie określenia podstawowych warunków technicznych i organizacji, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych załącznik A, VII informuje że: Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej 7

8 Ustawa o ochronie informacji niejawnych (1/2) Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych, Dz.U. nr 11, poz. 95, (zmiany: Dz.U nr 12, poz. 136, Dz.U nr 39, poz. 462, Dz.U nr 22, poz. 247, Dz.U nr 27, poz. 298, Dz.U nr 56, poz. 580, Dz.U nr 110, poz. 1189, Dz.U nr 123, poz. 1353, Dz.U nr 154, poz. 1800, Dz.U nr 74, poz. 676, Dz.U nr 89, poz. 804, Dz.U nr 153, poz. 1271, Dz.U nr 17, poz. 155, Dz.U nr 29, poz. 257, Dz.U nr 85, poz. 727). 8

9 Ustawa o ochronie informacji niejawnych (2/2) Wymagane jest nie tylko prowadzenie audytu bezpieczeństwa systemu informatycznego ale audyt jest stałym obowiązkiem przy formułowaniu i modyfikowaniu szczególnych wymagań bezpieczeństwa dla systemu informatycznego przetwarzającego informacje niejawne. Procedury bezpieczeństwa eksploatacji zawierają szczegółowy wykaz czynności dla administrowania systemem, ochrony kryptograficznej, elektromagnetycznej i fizycznej, bezpieczeństwa urządzeń i oprogramowania, zapewnienia ciągłości działania systemu oraz audytu bezpieczeństwa. 9

10 inne Ustawa o świadczeniu usług drogą elektroniczną Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną, Dz.U. nr 144, poz. 1204, (zmiany: Dz.U nr 96, poz. 959, Dz.U nr 173, poz. 1808). Ustawa o podpisie elektronicznym Ustawa z dnia 18 września 2001r. o podpisie elektronicznym, Dz.U. nr 130, poz (zmiany: Dz.U nr 153, poz. 1271, Dz.U nr 124, poz. 1152, Dz.U nr 217, poz. 2125, Dz.U nr 96, poz. 959, Dz.U nr 64, poz. 565). Ustawa o zwalczaniu nieuczciwej konkurencji Ustawa z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji, Dz.U. nr 47, poz. 211, z późniejszymi zmianami (15 aktów zmieniających). 10

11 inne Ustawa o elektronicznych instrumentach płatniczych Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych, Dz.U. nr 169, poz (zmiany: Dz.U nr 91, poz. 870, Dz.U nr 96, poz. 959). Rozporządzenie Prezesa Rady Ministrów Rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, Dz.U nr 171, poz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie określenia podstawowych warunków technicznych i organizacji, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. 2005, nr 100, poz

12 Regulacje prawne K O N I E C