mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji



Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Krzysztof Świtała WPiA UKSW

Komunikowanie wyników audytu

z dnia 17 marca 2016 r. w sprawie wniesienia do Sejmu projektu ustawy o zmianie ustawy o finansach publicznych

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

KARTA AUDYTU WEWNĘTRZNEGO

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

PRELEGENT Przemek Frańczak Członek SIODO

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

Zarządzenie Nr Or.I Burmistrza Gogolina z dnia 11 stycznia 2016r.

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Karta Audytu Wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Warszawa, dnia 12 maja 2016 r. Poz. 20

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

I. Ogólne cele i zasady audytu wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO

1. Postanowienia ogólne

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Zarządzenie Nr 88/2016 Prezydenta Miasta Kalisza z dnia 10 lutego 2016 r.

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

Sprawozdanie z zadania zapewniającego

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Karta audytu Uniwersytetu Śląskiego

Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

Karta audytu Uniwersytetu Śląskiego w Katowicach

PODRĘCZNIK AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 28 grudnia 2015 r.

Marcin Soczko. Agenda

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzenie Nr 55/2008 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 30 grudnia 2008 roku

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO 1 POSTANOWIENIA OGÓLNE

ROZDZIAŁ I POSTANOWIENIA OGÓLNE

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

Zasady i tryb przeprowadzania audytu wewnętrznego w Politechnice Warszawskiej

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

Regulamin audytu wewnętrznego

Zarządzenie Nr 5/2009 Starosty Bocheńskiego z dnia 2 lutego 2009 roku

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku

KWESTIONARIUSZ SAMOOCENY AUDYTU WEWNETRZNEGO ZA ROK

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

REGULAMIN ORGANIZACYJNY SEKCJI AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR 19/2019 STAROSTY SIEDLECKIEGO. z dnia 4 kwietnia 2019 r.

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

Karta Audytu Wewnętrznego Urząd Gminy i Miasta w Miechowie

Jak sobie radzić z ryzykiem w szkole

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

Instrukcja Audytu Wewnętrznego

45/4/A/2015. WYROK z dnia 9 kwietnia 2015 r. Sygn. akt K 14/13 * W imieniu Rzeczypospolitej Polskiej. Trybunał Konstytucyjny w składzie:

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

Warszawa, 2 września 2013 r.

dr Piotr Sitniewski

KARTA AUDYTU WEWNĘTRZNEGO

Regulamin audytu wewnętrznego

REGULAMIN AUDYTU WEWNĘTRZNEGO STAROSTWA POWIATOWEGO W ZGORZELCU

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

GŁÓWNY INSPEKTORAT OCHRONY ŚRODOWISKA KARTA AUDYTU WEWNĘTRZNEGO OCHRONY ŚRODOWISKA. w GŁÓWNYM INSPEKTORACIE

KARTA AUDYTU WEWNĘTRZNEGO

Formułowanie opinii i ocen

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

ZARZĄDZENIE Nr 118/2006 Rektora Uniwersytetu Wrocławskiego z dnia 15 września 2006 r.

Rozdział 1. Postanowienia ogólne

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Zarządzenie Nr 349/2015 Prezydenta Miasta Kalisza z dnia 11 sierpnia 2015 r.

Biura Audytu Wewnętrznego

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 17 czerwca 2015 r.

O SOWP, o prawie do informacji publicznej, o ważnych sprawach. Bartosz Wilk tel

ZAŁĄCZNIK NR 3 do Programu Zapewnienia i Poprawy Jakości Audytu Wewnętrznego

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

Opis systemu kontroli wewnętrznej w mbanku S.A.

Wprowadzenie. Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy. Akty prawne dot.

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

Warszawa, dnia 21 lutego 2013 r. Poz. 5 DECYZJA NR 4 KOMENDANTA GŁÓWNEGO PAŃSTWOWEJ STRAŻY POŻARNEJ. z dnia 21 lutego 2013 r.

ZARZĄDZENIE NR 67/2018 WÓJTA GMINY ŁUBNIANY. z dnia 9 lipca 2018 r. w sprawie wprowadzenia Karty Audytu Wewnętrznego

Transkrypt:

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ Trybunał Konstytucyjny o r z e k a Art. 284 ust. 2 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, 938 i 1646 oraz z 2014 r. poz. 379, 911, 1146, 1626 i 1877) jest niezgodny z art. 61 ust. 1, 2 i 3 w związku z art. 31 ust. 3 Konstytucji Rzeczypospolitej Polskiej. Sygn. akt K 14/13

Ustawa o finansach publicznych 3 Art. 284. 1. Plan audytu oraz sprawozdanie z wykonania planu audytu stanowią, udostępnianą na wniosek, informację publiczną w rozumieniu ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej. 2. Informacji publicznej nie stanowią inne niż wymienione w ust. 1 dokumenty wytworzone przez audytora wewnętrznego w trakcie prowadzenia audytu wewnętrznego.

Konstytucja Rzeczypospolitej Polskiej 4 Art. 61. 1. Obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. 2. Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu. 3. Ograniczenie prawa, o którym mowa w ust. 1 i 2, może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa.

Audyty informatyczne - przepisy 5 Ustawa o finansach publicznych Art. 272 1. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. 2. Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.

Audyty informatyczne - przepisy 6 Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:. 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Bezpieczeństwo informacji - przepisy 7 Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Bezpieczeństwo informacji - przepisy Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Rozdział IV Minimalne wymagania dla systemów teleinformatycznych 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) 13) 8

Bezpieczeństwo informacji - przepisy 9 Ustawa o ochronie danych osobowych Art. 36 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Bezpieczeństwo informacji - przepisy 10 Także inne ustawy zawierają zapisy o obowiązku zabezpieczania informacji i/lub danych, m.in.: Prawo o aktach stanu cywilnego Prawo telekomunikacyjne Ustawa o ewidencji ludności Ustawa o narodowym zasobie archiwalnym i archiwach Ustawa o podpisie elektronicznym Ustawa o rachunkowości Ustawa o systemie informacji oświatowej Ustawa o systemie informacji w ochronie zdrowia Ustawa o systemie ubezpieczeń społecznych Ustawa o świadczeniu usług drogą elektroniczną

Audyty informatyczne 11 Zatem audyt informatyczny może obejmować badanie m.in.: bezpieczeństwa informacji, ochrony danych osobowych, sprawności i wydajności systemów / technologii informatycznych, zgodności systemów informatycznych z obowiązującymi przepisami, wdrażania nowych lub znaczących modernizacji (zmian) systemów / technologii informatycznych, projektów informatycznych dopasowania systemów do wymagań użytkowników.

Audyty informatyczne Współczesne podejście do realizacji audytu, wymaga często realizacji tzw. zintegrowanych badań audytowych, co oznacza rozszerzenie badania np. obszaru finansowego czy organizacyjnego na systemy informatyczne stosowane w tym obszarze, a w szczególności na kwestie bezpieczeństwa informacji jednostki wraz z ujawnieniem luk bezpieczeństwa i ryzyk z tym związanych, dotyczących m.in.: poufności, dostępności i integralności informacji, zachowania ciągłości działania jednostki, incydentów w obszarze bezpieczeństwa informacyjnego, nadużyć i oszustw. 12

Audyty informatyczne - przepisy Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego 24. 1. Po przedstawieniu kierownikom komórek audytowanych ustaleń stanu faktycznego audytor wewnętrzny sporządza sprawozdanie, w którym w sposób jasny, rzetelny i zwięzły przedstawia wyniki audytu wewnętrznego. 2. Sprawozdanie zawiera w szczególności: 4) ustalenia stanu faktycznego wraz ze sklasyfikowanymi wynikami ich oceny według kryteriów, o których mowa w 19 ust. 1 pkt 6; 5) wskazanie słabości kontroli zarządczej oraz analizę ich przyczyn; 6) skutki lub ryzyka wynikające ze wskazanych słabości kontroli zarządczej; 7) zalecenia w sprawie wyeliminowania słabości kontroli zarządczej lub wprowadzenia usprawnień, zwane dalej zaleceniami ; 8) opinię audytora wewnętrznego w sprawie adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze ryzyka objętym zadaniem zapewniającym. 13

Audyty informatyczne - przepisy Projekt z dnia 12 czerwca 2015 r. Rozporządzenia Ministra Finansów w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego 19. 1. Audytor wewnętrzny, po uzgodnieniu wstępnych wyników audytu wewnętrznego, sporządza sprawozdanie z zadania zapewniającego. 2. Sprawozdanie, o którym mowa w ust. 1, zawiera w szczególności: 4) ustalenia i ocenę według kryteriów przyjętych w programie, o którym mowa w 17 ust. 1; 5) zalecenia; 7) ogólną ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze działalności jednostki objętym zadaniem. Projekt jest dostępny w Biuletynie Informacji Publicznej Rządowego Centrum Legislacji w serwisie Rządowy Proces Legislacyjny (RPL) https://legislacja.rcl.gov.pl/projekt/12273502 Zgłaszanie ewentualnych uwag do treści projektu jest możliwe w terminie do dnia 29 czerwca 2015 r. 14

Audyty informatyczne Zatem sprawozdanie z audytów informatycznych czy audytów zintegrowanych zawiera: ustalenia stanu faktycznego, w tym opisy zastosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji i ochronę przetwarzanych danych osobowych, opisy luk i słabości zastosowanych środków technicznych i organizacyjnych, skutki lub ryzyka wynikające ze wskazanych słabości, zalecenia w sprawie wyeliminowania słabości lub wprowadzenia usprawnień. 15

Audyty informatyczne 16 Udostępnienie każdej osobie, która o to poprosi, informacji zawartych w sprawozdaniach z audytów o zastosowanych środkach technicznych i organizacyjnych może znacznie ułatwić świadome i zamierzone naruszenie poufności, dostępności i integralności przetwarzanych informacji.

Uzasadnienie ODMOWY udostępnienia 17 Podstawy prawne odmowy udostępnienia dokumentów wytwarzanych przez audytora w trakcie prowadzenia audytu informatycznego to przede wszystkim: 20 Rozporządzenia RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [na podstawie art. 18 oraz 1, 15, 16, 20a Ustawy o informatyzacji] art. 36 Ustawy o ochronie danych osobowych stosowne artykuły innych ustaw na podstawie art. 61 ust. 3 Konstytucji RP, czyli ze względu na ochronę bezpieczeństwa i ważny interes gospodarczy państwa.

Uzasadnienie ODMOWY udostępnienia Uzasadnienie wyroku Trybunału Konstytucyjnego: 6.3. Nie jest zadaniem Trybunału rozstrzyganie, które z poszczególnych dokumentów wytwarzanych przez audytora stanowią informację publiczną, stosownie do wskazanych wyżej kryteriów, a które nie. Kwestie te powinny rozstrzygać w pierwszej kolejności organy zobowiązane do udostępnienia informacji publicznej, oceniające, czy dokument, którego udostępnienia w trybie u.d.i.p. żąda skarżący, stanowi informację publiczną, zaś w przypadku sporu sądy administracyjne. Zakres pojęcia informacji publicznej podlega ustaleniu przede wszystkim na podstawie art. 61 Konstytucji, a także na podstawie ustawy o dostępie do informacji publicznej. 18

Uzasadnienie ODMOWY udostępnienia Uzasadnienie wyroku Trybunału Konstytucyjnego: 6.4. Należy zauważyć, że prawo dostępu do informacji publicznej zawartej w dokumentach audytowych może podlegać ograniczeniu. Sądy, dokonując na zasadach ogólnych oceny zasadności udostępnienia określonej informacji publicznej zawartej w dokumentach audytowych, powinny uwzględniać różne wartości konstytucyjne związane z prawami obywatelskimi z jednej strony i potrzebę efektywnego funkcjonowania organów władzy publicznej z drugiej strony. 19

Dziękuję za uwagę!