mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ Trybunał Konstytucyjny o r z e k a Art. 284 ust. 2 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, 938 i 1646 oraz z 2014 r. poz. 379, 911, 1146, 1626 i 1877) jest niezgodny z art. 61 ust. 1, 2 i 3 w związku z art. 31 ust. 3 Konstytucji Rzeczypospolitej Polskiej. Sygn. akt K 14/13
Ustawa o finansach publicznych 3 Art. 284. 1. Plan audytu oraz sprawozdanie z wykonania planu audytu stanowią, udostępnianą na wniosek, informację publiczną w rozumieniu ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej. 2. Informacji publicznej nie stanowią inne niż wymienione w ust. 1 dokumenty wytworzone przez audytora wewnętrznego w trakcie prowadzenia audytu wewnętrznego.
Konstytucja Rzeczypospolitej Polskiej 4 Art. 61. 1. Obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. 2. Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu. 3. Ograniczenie prawa, o którym mowa w ust. 1 i 2, może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa.
Audyty informatyczne - przepisy 5 Ustawa o finansach publicznych Art. 272 1. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. 2. Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.
Audyty informatyczne - przepisy 6 Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:. 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Bezpieczeństwo informacji - przepisy 7 Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
Bezpieczeństwo informacji - przepisy Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) 13) 8
Bezpieczeństwo informacji - przepisy 9 Ustawa o ochronie danych osobowych Art. 36 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Bezpieczeństwo informacji - przepisy 10 Także inne ustawy zawierają zapisy o obowiązku zabezpieczania informacji i/lub danych, m.in.: Prawo o aktach stanu cywilnego Prawo telekomunikacyjne Ustawa o ewidencji ludności Ustawa o narodowym zasobie archiwalnym i archiwach Ustawa o podpisie elektronicznym Ustawa o rachunkowości Ustawa o systemie informacji oświatowej Ustawa o systemie informacji w ochronie zdrowia Ustawa o systemie ubezpieczeń społecznych Ustawa o świadczeniu usług drogą elektroniczną
Audyty informatyczne 11 Zatem audyt informatyczny może obejmować badanie m.in.: bezpieczeństwa informacji, ochrony danych osobowych, sprawności i wydajności systemów / technologii informatycznych, zgodności systemów informatycznych z obowiązującymi przepisami, wdrażania nowych lub znaczących modernizacji (zmian) systemów / technologii informatycznych, projektów informatycznych dopasowania systemów do wymagań użytkowników.
Audyty informatyczne Współczesne podejście do realizacji audytu, wymaga często realizacji tzw. zintegrowanych badań audytowych, co oznacza rozszerzenie badania np. obszaru finansowego czy organizacyjnego na systemy informatyczne stosowane w tym obszarze, a w szczególności na kwestie bezpieczeństwa informacji jednostki wraz z ujawnieniem luk bezpieczeństwa i ryzyk z tym związanych, dotyczących m.in.: poufności, dostępności i integralności informacji, zachowania ciągłości działania jednostki, incydentów w obszarze bezpieczeństwa informacyjnego, nadużyć i oszustw. 12
Audyty informatyczne - przepisy Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego 24. 1. Po przedstawieniu kierownikom komórek audytowanych ustaleń stanu faktycznego audytor wewnętrzny sporządza sprawozdanie, w którym w sposób jasny, rzetelny i zwięzły przedstawia wyniki audytu wewnętrznego. 2. Sprawozdanie zawiera w szczególności: 4) ustalenia stanu faktycznego wraz ze sklasyfikowanymi wynikami ich oceny według kryteriów, o których mowa w 19 ust. 1 pkt 6; 5) wskazanie słabości kontroli zarządczej oraz analizę ich przyczyn; 6) skutki lub ryzyka wynikające ze wskazanych słabości kontroli zarządczej; 7) zalecenia w sprawie wyeliminowania słabości kontroli zarządczej lub wprowadzenia usprawnień, zwane dalej zaleceniami ; 8) opinię audytora wewnętrznego w sprawie adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze ryzyka objętym zadaniem zapewniającym. 13
Audyty informatyczne - przepisy Projekt z dnia 12 czerwca 2015 r. Rozporządzenia Ministra Finansów w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego 19. 1. Audytor wewnętrzny, po uzgodnieniu wstępnych wyników audytu wewnętrznego, sporządza sprawozdanie z zadania zapewniającego. 2. Sprawozdanie, o którym mowa w ust. 1, zawiera w szczególności: 4) ustalenia i ocenę według kryteriów przyjętych w programie, o którym mowa w 17 ust. 1; 5) zalecenia; 7) ogólną ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze działalności jednostki objętym zadaniem. Projekt jest dostępny w Biuletynie Informacji Publicznej Rządowego Centrum Legislacji w serwisie Rządowy Proces Legislacyjny (RPL) https://legislacja.rcl.gov.pl/projekt/12273502 Zgłaszanie ewentualnych uwag do treści projektu jest możliwe w terminie do dnia 29 czerwca 2015 r. 14
Audyty informatyczne Zatem sprawozdanie z audytów informatycznych czy audytów zintegrowanych zawiera: ustalenia stanu faktycznego, w tym opisy zastosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji i ochronę przetwarzanych danych osobowych, opisy luk i słabości zastosowanych środków technicznych i organizacyjnych, skutki lub ryzyka wynikające ze wskazanych słabości, zalecenia w sprawie wyeliminowania słabości lub wprowadzenia usprawnień. 15
Audyty informatyczne 16 Udostępnienie każdej osobie, która o to poprosi, informacji zawartych w sprawozdaniach z audytów o zastosowanych środkach technicznych i organizacyjnych może znacznie ułatwić świadome i zamierzone naruszenie poufności, dostępności i integralności przetwarzanych informacji.
Uzasadnienie ODMOWY udostępnienia 17 Podstawy prawne odmowy udostępnienia dokumentów wytwarzanych przez audytora w trakcie prowadzenia audytu informatycznego to przede wszystkim: 20 Rozporządzenia RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [na podstawie art. 18 oraz 1, 15, 16, 20a Ustawy o informatyzacji] art. 36 Ustawy o ochronie danych osobowych stosowne artykuły innych ustaw na podstawie art. 61 ust. 3 Konstytucji RP, czyli ze względu na ochronę bezpieczeństwa i ważny interes gospodarczy państwa.
Uzasadnienie ODMOWY udostępnienia Uzasadnienie wyroku Trybunału Konstytucyjnego: 6.3. Nie jest zadaniem Trybunału rozstrzyganie, które z poszczególnych dokumentów wytwarzanych przez audytora stanowią informację publiczną, stosownie do wskazanych wyżej kryteriów, a które nie. Kwestie te powinny rozstrzygać w pierwszej kolejności organy zobowiązane do udostępnienia informacji publicznej, oceniające, czy dokument, którego udostępnienia w trybie u.d.i.p. żąda skarżący, stanowi informację publiczną, zaś w przypadku sporu sądy administracyjne. Zakres pojęcia informacji publicznej podlega ustaleniu przede wszystkim na podstawie art. 61 Konstytucji, a także na podstawie ustawy o dostępie do informacji publicznej. 18
Uzasadnienie ODMOWY udostępnienia Uzasadnienie wyroku Trybunału Konstytucyjnego: 6.4. Należy zauważyć, że prawo dostępu do informacji publicznej zawartej w dokumentach audytowych może podlegać ograniczeniu. Sądy, dokonując na zasadach ogólnych oceny zasadności udostępnienia określonej informacji publicznej zawartej w dokumentach audytowych, powinny uwzględniać różne wartości konstytucyjne związane z prawami obywatelskimi z jednej strony i potrzebę efektywnego funkcjonowania organów władzy publicznej z drugiej strony. 19
Dziękuję za uwagę!