Wybrane obowiązki PT w zakresie bezpieczeństwa, obronności, porządku publicznego i przechowywania danych

Transkrypt

1 XIII Konferencja KIKE Ożarów Maz Wybrane obowiązki PT w zakresie bezpieczeństwa, obronności, porządku publicznego i przechowywania danych Łukasz Bazański, Piotr Marciniak

2 Obowiązki (nie tylko) ~~obronnościowe~~ 2

3 Obowiązki (nie tylko) ~~obronnościowe~~ Dokumenty: Raporty Plany Formularze Zestawienia Wyciągi Procedury Uzgodnienia Kontrole Wyjaśnienia Czynności/zaplecze/logistyka: Logowanie Rejestracja Sporządzanie kopii Kooperacja Gotowość systemów Certyfikacje (Prze-)Szkolenia Pomieszczenia 8 stanowisk 3

4 Obowiązki czy rozmiar ma znaczenie? Obowiązki PT/ISP nakładane: 1. bez względu na wielkość sieci (np. raporty, retencja); 2. uzależnione od wielkości sieci lub obszaru działania (np. certyfikaty bezpieczeństwa przemysłowego, zakres uzgodnień do planów działania w sytuacji szczególnych zagrożeń). 4

5 Obowiązki trigger Obowiązki PT/ISP : 1. stałe (retencja, raporty, plany działania, itp.); 2. na wezwanie (udostępnienie danych, możliwości rejestracji, itp.). 5

6 Obowiązki kompetencje własne, a outsourcing Mnogość różnych obowiązków nakładanych na ISP, przy skromnych zasobach własnych firm mikro oraz małych, a także brak wiedzy lub kadr zdolnych je realizować/zabezpieczać powodują, że: 1. poziom i kompletność realizacji obowiązków wśród ISP są statystycznie dość niskie; 2. część operatorów poszukuje outsourcingu w tym zakresie nie mając często wiedzy nt. nakładu pracy potrzebnej do realizacji poszczególnych zadań, możliwości ich wyceny, a także rzetelności oferenta i zakresu zadań, w realizacji których współpraca ISP jest niezbędna. 6

7 Obowiązki outsourcing Rynek usług outsourcingowych w zakresie obowiązków obronnościowych dla ISP jest stosunkowo niewielki, ale dość często oferenci wykorzystują nieznajomość wymagań po stronie operatorów. Poradnik KIKE ma na celu przystępne omówienie wybranej grupy podstawowych obowiązków i wskazanie zakresu oraz nakładu prac potrzebnych do ich wykonania. W praktyce bowiem wszystkie z opisanych w poradniku obowiązków możliwe są do realizacji we własnym zakresie po stronie ISP. Kolejne wersje poradnika mogą być rozbudowywane o informacje nt. kolejnych obowiązków. 7

8 Poradnik KIKE 5 głównych zagadnień: 1) Obowiązki przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń - plany działań 2) Zapewnienie warunków udostępniania i utrwalania danych telekomunikacyjnych dla uprawnionych podmiotów np. Policji oraz ich utrwalanie na rzecz sądu lub prokuratora; 3) Obowiązki w zakresie retencji danych telekomunikacyjnych; 4) Wypełnianie obowiązków w zakresie ochrony informacji niejawnych; 5) Wybrane, podstawowe zasady postępowania przy przetwarzaniu danych osobowych abonentów. 8

9 Załączniki do opracowania: 1) Wykaz aktów prawnych; 2) Wzór zawiadomienia o naruszeniu danych osobowych, 3) Wzór rejestru naruszeń danych osobowych; 4) Przykładowy system logowania w środowisku Linux; 5) Wzór formularza dotyczącego udostępniania danych 9

10 Obowiązki przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń Obowiązek sporządzenia planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń: w zależności od rozmiarów prowadzonej działalności: plan lokalny, rejonowy lub ogólny; udostępnienie i analiza informacji o szczególnych zagrożeniach występujących na terenie powiatu/województwa; uzgadnianie części planu działań z różnymi organami m.in. starostą/wojewodą, Prezesem UKE i Ministrem Administracji i Cyfryzacji. 10

11 Zapewnienie warunków udostępniania i utrwalania danych telekomunikacyjnych Tworzenie technicznych i organizacyjnych możliwości dla dostępu i utrwalania danych telekomunikacyjnych: umożliwiających tzw. uprawnionym podmiotom tj. Policji, Straży Granicznej, Agencji Bezpieczeństwa Wewnętrznego, Służbie Kontrwywiadu Wojskowego, Żandarmerii Wojskowej, Centralnemu Biuru Antykorupcyjnemu i wywiadowi skarbowemu tzw. kontroli korespondencji czyli np. nagrywanie rozmów; a także Utrwalania tych danych przez przedsiębiorcę na żądanie sądu lub prokuratora 11

12 Retencja danych telekomunikacyjnych - pojęcie zatrzymywanie i przechowywanie danych, określonych w art. 180c PT przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia; udostępnianie danych tzw. podmiotom uprawnionym, Służbie Celnej, sądowi i prokuraturze; ochrona danych. 12

13 Retencja danych telekomunikacyjnych - zakres Obowiązek udostępniania danych niezbędnych do: ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego inicjującego połączenie lub odbiorcy połączenia; określenia daty, godziny połączenia, czasu jego trwania, rodzaju połączenia i lokalizacji telekomunikacyjnego urządzenia końcowego; Precyzyjne wyszczególnienie danych objętych obowiązkiem retencji określa Rozporządzenie Ministra Infrastruktury z dnia 28 grudnia 2009 roku w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania. 13

14 Retencja danych telekomunikacyjnych załącznik do opracowania Załącznik zawiera konfigurację oraz omówienie przykładowego systemu logowania ruchu IP w środowisku Linux z wykorzystaniem tcpdumpa, dla zapewnienia logowania trzech podstawowych parametrów: src IP/dst IP oraz czasu uwzględniając translację z adresacji prywatnej na publiczną. Dane te w połączeniu z bazą abonentów zapewniają możliwość odpowiedzi na blisko 100% zapytań kierowanych do ISP w zakresie potwierdzenia, czy we wskazanym czasie nastąpiło połączenie między abonentem sieci, a adresem w Internecie. 14

15 Obowiązki ISP w zakresie ochrony informacji niejawnych Zagadnienia konieczności uzyskania świadectwa bezpieczeństwa przemysłowego; Zagadnienia konieczności powołania i zatrudnienia pełnomocnika ds. ochrony informacji niejawnych; Zagadnienia wyodrębnienia kancelarii tajnej i zatrudnienia jej kierownika; Możliwości powierzenia wykonywania zadań innemu przedsiębiorcy telekomunikacyjnemu na podstawie zawartej umowy. 15

16 Przetwarzanie danych osobowych abonentów Możliwość przetwarzania części danych abonenta bez konieczności uzyskania jego uprzedniej zgody; Nowe obowiązki przedsiębiorcy telekomunikacyjnego, wobec abonenta i Generalnego Inspektora Ochrony Danych Osobowych w sytuacji naruszenia ochrony danych osobowych (przepisy dodane nowelizacją PT z 2012 r.); Tajemnica telekomunikacyjna a konieczność/możliwość udostępnienia danych osobowych abonentów innym podmiotom (publicznym i prywatnym). 16

17 Dyskusja Gośćmi panelu, są przedstawiciele DSO UKE: Jacek Matyszczak dyrektor Marek Jurkiewicz Jerzy Figurski 17

18 Dziękujemy za uwagę! 18