Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Transkrypt

1 Wymagania prawne dla oprogramowania w świetle przepisów prawa Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

2 Compliance (z ang. zgodność) osiągnięcie zgodności z przepisami prawa, normami, wymaganiami regulatorów rynku, regulacjami wewnętrznymi.

3 Ustawa Sarbanes-Oxley Act (SOX), umowny początek dyskusji o compliance w IT

4 Czy jestem legalnym użytkownikiem oprogramowania? Prawo do korzystania z oprogramowania w rozumieniu ustawy o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. (Dz. U. Nr 24, poz. 83).

5 Dylemat twórcy, jak osiągnąć zgodność oprogramowania z prawem? Klauzula umowna: Oprogramowanie na spełniać wymogi przepisów prawa Oczywista oczywistość, ale.?? Kto zdefiniuje -jakie przepisy, jakie normy? Rola stron umowy Development oprogramowania

6 Wymogi prawne dla oprogramowania definiujemy case by case Ale tytułem przykładu na kolejnych slajdach

7 Zarządzanie bezpieczeństwem informacji Norma ISO/IEC (PN-ISO/IEC 27001)

8 USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014, poz t.j.) ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJIz dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004, Nr 100, poz. 1024)

9 USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. 2010, Nr 182, poz. 1228) ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. 2011, Nr 159, poz. 948) ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego Dz. U. 2011, Nr 156, poz. 926) USTAWA z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2013, poz. 1422)

10 Ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. 1994, Nr 121, poz. 591)

11 USTAWA z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. 2014, poz. 455, t.j.) ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 21 września 2001 r. w sprawie określenia wzoru rejestru transakcji, sposobu jego prowadzenia oraz trybu dostarczania danych z rejestru Generalnemu Inspektorowi Informacji Finansowej (Dz. U. 2001, Nr 113, poz. 120)

12 USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Dz. U r. poz t. j.) ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012, poz. 526) ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. 2014, poz. 584) ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz. U. 2011, Nr 206, poz. 1216)

13 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. 2011, Nr 93, poz. 545) ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych (Dz. U. 2010, Nr 177, poz. 1195) ROZPORZĄDZENIE MINISTRA NAUKI I INFORMATYZACJI z dnia 19 października 2005 r. w sprawie testów akceptacyjnych oraz badania oprogramowania interfejsowego i weryfikacji tego badania (Dz. U. 2005, Nr 217, poz. 1836) ROZPORZĄDZENIE RADY MINISTRÓW z dnia 27 września 2005 r. w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym (Dz. U. 2005, Nr 205, poz. 1692)

14 USTAWA z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. 2011, Nr. 113, poz. 657) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 24 września 2013 r. w sprawie Systemu Wspomagania Ratownictwa Medycznego (Dz. U. 2013, poz. 1181) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 sierpnia 2013 r. w sprawie opisu, minimalnej funkcjonalności oraz warunków organizacyjno-technicznych funkcjonowania Platformy Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych oraz Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych (Dz. U. 2013, poz. 1001) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 sierpnia 2013 r. w sprawie minimalnych wymagań dla niektórych systemów teleinformatycznych funkcjonujących w ramach systemu informacji w ochronie zdrowia (Dz. U. 2013, poz. 999) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 9 lipca 2013 r. w sprawie Systemu Monitorowania Zagrożeń (Dz. U. 2013, poz. 853)

15 ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 25 czerwca 2013 r. w sprawie Systemu Statystyki w Ochronie Zdrowia (Dz. U. 2013, poz. 770) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 czerwca 2013 r. w sprawie Rejestru Medycznie Wspomaganej Prokreacji (Dz. U. 2013, poz.721) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 6 czerwca 2013 r. w sprawie Systemu Ewidencji Zasobów Ochrony Zdrowia (Dz. U. 2013, poz. 671) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 6 czerwca 2013 r. w sprawie Systemu Monitorowania Kosztów Leczenia i Sytuacji Finansowo-Ekonomicznej Podmiotów Leczniczych (Dz. U. 2013, poz. 670) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 19 kwietnia 2013 r. w sprawie Systemu Rejestru Usług Medycznych Narodowego Funduszu Zdrowia (Dz. U. 2013, poz. 514) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 28 marca 2013 r. w sprawie wymagań dla Systemu Informacji Medycznej (Dz. U. 2013, poz. 463) ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 15 marca 2013 r. w sprawie wzoru wniosku o przekazanie raportu z udostępnienia danych przetwarzanych w Systemie Informacji Medycznej ( Dz. U. 2013, poz. 436)

16 Trudna decyzja: audyt wewnętrzny czy kontrola zewnętrzna, a może idziemy na żywioł?

17 Zalecenia dla banków w temacie audytu IT w Rekomendacji D Komisji Nadzoru Finansowego Akredytacja systemu teleinformatycznego przetwarzającego informacje niejawne Kontrola działania systemów teleinformatycznych używanych do realizacji zadań publicznych

18 Audyt legalności oprogramowania Certyfikacja aplikacji pod kątem wymogów przepisów prawa lub norm

19 Certyfikacja audytorów IT: CISA, CISSP,CGEIT, normy ISO

20 GESSEL Kancelaria Prawna ul. Sienna Warszawa tel. +48 (22) fax. +48 (22)