Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

Transkrypt

1 Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

2 CYBERBEZPIECZEŃSTWO to zapewnienie ciągłości działania systemów teleinformatycznych oraz bezpieczeństwa ich funkcji i informacji w nich przetwarzanych, rozumiane jako (1) ciągłość funkcjonowania (2) brak nieautoryzowanego dostępu (3) brak nieautoryzowanego wykorzystania (4) brak nieautoryzowanej zmiany (5) brak uszkodzenia bez względu na przyczynę. Maciej Gawroński (definicja odpowiada podejściu NIST)

3 PODEJŚCIE DO ODPOWIEDZIALNOŚCI Analiza Przepisów Porównanie do rynku Zaleceń Standardów

4 PRZEPISY Ustawa o ochronie danych osobowych z dn. z dnia 29 sierpnia 1997 r. ( UODO ) Rozporządzenie wykonawcze do UODO Ustawa o zarządzaniu kryzysowym z dn. 26 kwietnia 2007 r. Ustawa Prawo telekomunikacyjne z dn. 16 lipca 2004 r. Ustawa Prawo energetyczne z dn. 10 kwietnia 1997 r. Ustawa o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej z dn. 29 sierpnia 2002 r. Kodeks karny z dn. 6 czerwca 1997 r. Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary z dn. 28 października 2002 r. Wszelkie przepisy o tajemnicach (bankowej, przedsiębiorstwa, pocztowej, telekomunikacyjnej, lekarskiej etc.) Ustawa o działaniach antyterrorystycznych

5 PRZEPISY OCZEKUJĄCE Dyrektywa NIS nr 2016/1148 z r. (Bezpieczeństwo sieci i systemów IT) Ogólne Rozporządzenie UE nr 2016/679 z r. o ochronie danych osobowych

6 ZALECENIA Rekomendacje i wytyczne KNF (Rekomendacja D, Rekomendacja M) Raport NIK z r. z kontroli ochrony cyberprzestrzeni RP Polityka Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej (2013) Doktryna Cyberbezpieczeństwa Rzeczpospolitej Polskiej (2015) Strategia Bezpieczeństwa Narodowego Rzeczpospolitej Polskiej

7 STANDARDY ISO/IEC 27001: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania ISO/IEC 27002: Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zabezpieczania informacji ISO/IEC 27032:2012 Informatyka - Techniki bezpieczeństwa Wytyczne dotyczące cyberbezpieczeństwa ISO/IEC 27018:2014 Technika informatyczna Techniki bezpieczeństwa Kodeks dobrych praktyk w zakresie ochrony danych osobowych (PII) w chmurach publicznych działających jako przetwarzający PII ISO/IEC 27017:2015 Code of practice for information security controls based on ISO/IEC for cloud services ISO/IEC 22301:2012 Business continuity management systems - Requirements ISO 31000:2012 Zarządzanie ryzykiem Zasady i wytyczne CSA STAR

8 GĄSZCZ NORM Brak jednolitego podejścia Nie ma ustawy o cyberbezpieczeństwie

9 ODPOWIEDZIALNOŚĆ Osobowa: Karna ogólna Karna za utrudnianie (NIK, GIODO, KNF, Policja, ABW, CBA, ETC) Pracownicza Instytucjonalna: Administracyjna Cywilna: (i) deliktowa, (ii) za produkt (np. oprogramowanie), oraz (iii) kontraktowa Reputacyjna Podmiotów zbiorowych (karna)

10 ODPOWIEDZIALNOŚĆ KARNA Odpowiedzialność ponoszą: CEO CIO / CSO / ABI Pion bezpieczeństwa Inni Prokuratura Krajowa Departament do Spraw Przestępczości Zorganizowanej Korupcji i Prokuratury regionalne koordynatorzy do spraw cyberprzestępczości

11 ZARZUTY UODO 51 ujawnienie (U/NU) UODO 52 niezabezpieczenie (U/NU) Ujawnienie tajemnicy (KK 266, UZNK 23, Prawo bankowe 171.5, Działalność ubezpieczeniowa 232.1, Fundusze inwestycyjne 289, KK 255 informacje niejawne)

12 PRZYKŁAD ZARZUTU art. 52 UODO (niezabezpieczenie) w zbiegu z art. 23 ust. 1 UZNK (tajemnica przedsiębiorstwa) w zbiegu z art KK (tajemnica służbowa) w zbiegu z art. 171 ust. 5 Pr bankowego (tajemnica bankowa) w zbiegu z art (tajemnica służbowa) i 2 KK w związku z art KK w związku z art. 12 KK

13 PRZESTĘPSTWO NIEUMYŚLNE 51 i 52 UODO 296 KK nadużycie uprawnień lub niedopełnienie obowiązków wobec przedsiębiorcy

14 ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA GIODO (max. PLN 200k grzywna w celu przymuszenia) UKE KNF URE UOKiK

15 NADZCHODZI RODO I NIS Notyfikacja incydentów Retencja dokumentacji Kara 4% obrotu 20M

16 ODPOWIEDZIALNOŚĆ CYWILNA Cenzus szczególnej staranności: dane osobowe, bankowość, inne

17 PODEJŚCIE DO ODPOWIEDZIALNOŚCI

18 PODEJŚCIE DO ODPOWIEDZIALNOŚCI ZA CYBERBEZPIECZEŃSTWO Analiza Przepisów Porównanie do rynku Zaleceń Standardów kryterium: STARANNOŚĆ Jaka: Profesjonalisty? Szczególna?

19 CO ROBIĆ?! CO ROBIĆ?! Dokumentacja Audyty Certyfikacja Outsourcing odpowiedzialności Ubezpieczenie Opinia prawna

20 DZIĘKUJĘ Maruta Wachta sp. j. Maciej Gawroński UFFICIO PRIMO ul. Wspólna Warszawa tel.:

21 MARUTA\ O FIRMIE Maruta Wachta Sp. j. RANKING KANCELARII 2016 DZIENNIKA RZECZPOSPOLITA \ LIDER w kategorii TMT \ LIDER w kategorii PZP \ LIDER w kategorii Prawo własności intelektualnej, przemysłowej oraz autorskie WE KNOW IT

22