Kluczowe aspekty funkcjonowania działów IT Agenda spotkania: Obowiązki, jakie wynikają z ustawy o ochronie danych osobowych Odpowiedzialność kierownictwa i działów IT z zakresu legalności oprogramowania Bezpieczeństwo IT dokumentacja i procedury- wymogi czy dobra praktyka? Pytania i odpowiedzi
Marek Hajduk (X-COM) Absolwent Uniwersytetu Śląskiego wydział prawa. Wspólnik wfirmie X-COM z16 letnim doświadczenie w realizacji projektów informatycznych. Specjalista ds. bezpieczeństwa teleinformatycznego. Od 10 lat czynny audytor IT. Posiada certyfikaty: Microsoft Certified Professional, Microsoft Certified Technology Specialist, ISecMan, Administrator bezpieczeństwa danych niejawnych. Konsultant zzakresu bezpieczeństwa iochrony danych osobowych zumiejętnością implementacjiaktualnychprzepisów prawnych worganizacjach. Grzegorz Gawliczek (X-COM) Absolwent Politechniki Śląskiej. Wspólnik w jednej z czołowych firm audytorskich z zakresu teleinformatyki. Wieloletni audytor Legalności Oprogramowania z uprawnieniami do wykonywania audytów wramach programu Microsoft Software Assets Management, Adobe SAM Partner Program oraz Programu Certyfikacji Oprogramowania Autodesk. Microsoft Certificated Professional, Certified Technology Specialist. Praktyka w przeprowadzaniu audytów opartych onowe wytyczne normy ISO 19770. Doświadczenie zzakresie polityk zarządzania oprogramowaniem, poparte ilością przeprowadzonych audytów oraz licznymi szkoleniamiiuczestnictwem wkonferencjach.
Zaufali nam m.in. :
Obowiązki, jakie wynikają z ustawy o ochronie danych osobowych
Dane osobowe Firma Obowiązki Dane osobowe + ochrona danych osobowych = czy mnie to dotyczy?
Co to jest zbiór danych Ochrona osobowych danych osobowych Kto musi rejestrować swoje zbiory Zwolnienia obowiązku rejestracji Jak zarejestrować zbiór danych osobowych
Co to jest zbiór danych osobowych Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór rozumieniu przepisów ustawy ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych zbiorze) przesądza uporządkowanym charakterze zestawu danych tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Kto musi rejestrować swoje zbiory Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych ciąży na administratorze danych, czyli podmiocie decydującym ocelach środkach przetwarzania danych osobowych. Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa komunalna jednostka organizacyjna, także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe związku działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, drodze umowy na podstawie art. 31 ustawy ochronie danych osobowych.
Zwolnienia obowiązku rejestracji 1. objętych tajemnicą państwową, 2. osób należących do kościoła lub związku wyznaniowego, 3. przetwarzanych związku z zatrudnieniem, 4. dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 5. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, itp., 6. dotyczących osób pozbawionych wolności 7. przetwarzanych wyłącznie celu wystawienia faktury, lub prowadzenia księgowości, 8. powszechnie dostępnych, 9. przetwarzanych w celu przygotowania opracowania wymaganego do uzyskania dyplomu ukończenia szkoły wyższej 10. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego
Jak zarejestrować zbiór danych osobowych 1. Wniosek o wpisanie 2. Oznaczenie podmiotu 3. Cel przetwarzania 4. Sposób zbierania, oraz udostępniania 5. Opracowanie i wdrożenie polityki bezpieczeństwa 6. Opis środków technicznych
Jak zarejestrować zbiór danych osobowych 1. Wniosek o wpisanie - 2. Oznaczenie podmiotu 3. Cel przetwarzania 4. Sposób zbierania, oraz udostępniania 5. Opracowanie i wdrożenie polityki bezpieczeństwa 6. Opis środków technicznych
Od 1 stycznia 2012 r. zaczęły obowiązywać nowe przepisy prawa mające istotny wpływ na ochronę danych osobowych. Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych będą dotyczyły informacji identyfikujących przedsiębiorców w obrocie gospodarczym
Szczególne przypadki
A gdy się pojawią problemy
Odpowiedzialność kierownictwa z zakresu legalności oprogramowania
Kto może kontrolować legalność Organy uprawnione do przeszukiwania pomieszczeń o Policja o Straż graniczna o UKS o Służba Celna Przeszukanie jako środek dowodowy o Nakaz prokuratora (przeszukanie pomieszczenia) o Bez nakazu w przypadkach nie cierpiących zwłoki (5 dni na dostarczenie nakazu, inaczej dowody nieważne) o Regulowane w Kodeksie Postępowania Karnego o Utrudnianie przeszukania jest przestępstwem (podawanie haseł, wykonywanie poleceń)
Możliwe zagrożenia przed wdrożeniemprocedur Zarządzania Oprogramowaniem Utrudnione zarządzanie zasobami IT w firmie Niewiedza pracowników na temat wykorzystywania oprogramowania Niewłaściwa dystrybucja wewnętrzna Niekompletna dokumentacja Brak procedur bezpieczeństwa Ryzyko odpowiedzialności prawnej kierownictwa.
Odpowiedzialność karna Kto odpowiada Wina Zarząd Zamiar Informatycy Dyrektorzy Lekkomyślność Użytkownicy Niedbalstwo
Kto zazwyczaj odpowiada karnie? Członkowie kierownictwa firmy iwłaściciele, gdy: polecają pracownikom nielegalną instalację; wiedzą, że firma posiada nielegalneoprogramowanieinie podejmują niezwłocznie działań naprawczych. Osoby pracujące wfirmie na komputerach gdy: instalują oprogramowanie samodzielnie; zrobią dla swoich celów domowych kopię programu zainstalowanegowfirmie (i odwrotnie) Informatycy iosoby odpowiedzialne za system komputerowy gdy: instalują systemy lub programy bez odpowiedniej licencji (niezależnie od tego, czy robią to zpoleceniakierownictwa, czy zwłasnej inicjatywy).
Kiedy ryzykuje użytkownik? Programy z zewnątrz Dokumentacja Samodzielna Instalacja Internet Zgubienie / Zniszczenie Nielicencjonowane kopie Dom Niekontrolowany przepływ Nieprawidłowe wersje Gazeta Niepoprawne klucze licencyjne
Kiedy ryzykuje informatyk?
Kiedy ryzykuje zarząd?
Przestępstwo oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 79. Ust 1. Twórca może żądać od osoby,która naruszyła jego autorskie prawa majątkowe, zaniechania naruszenia, wydania uzyskanych korzyści albo zapłacenia w podwójnej, a w przypadku gdy naruszenie jest zawinione, potrójnej wysokości stosownego wynagrodzenia z chwili jego dochodzenia; twórca może również żądać naprawienia wyrządzonej szkody,jeżeli działanie naruszającegobyło zawinione.
Przestępstwo oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 116. Nielegalne rozpowszechnianie oprogramowania (np: internet) 1. Kto bez uprawnienia albo wbrew jego warunkom rozpowszechnia cudzy utwór w wersji oryginalnej albo w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 2. Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 w celu osiągnięcia korzyści majątkowej, podlega karze pozbawienia wolności do lat 3 3. Jeżeli sprawca uczynił sobie z popełniania przestępstwa określonego w ust. 1 stałe źródło dochodu albo działalność przestępną, określoną w ust. 1, organizuje lub nią kieruje, podlega karze pozbawienia wolności od 6 miesięcy do lat 5 4. Jeżeli sprawca czynu określonego w ust. 1 działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Przestępstwo oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 118 (1). Łamanie zabezpieczeń programu (np.cracki) 1. Kto wytwarza przedmioty przeznaczone do niedozwolonego usuwania lub obchodzenia technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem lub zwielokrotnianiem utworu bądź też służące do nielegalnego odbioru nadawanych programów, przeznaczonych dla zamkniętego grona odbiorców, uzyskujących do nich dostęp po zapłaceniu wynagrodzenia usługodawcy, albo dokonuje obrotu takimi przedmiotami, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.. 2. Kto posiada, przechowuje lub wykorzystuje przedmioty, o których mowa w ust. 1, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Kary wg Kodeksu Karnego Art. 291 1. Kto rzecz uzyskaną za pomocą czynu zabronionego nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 292 1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. W wypadku znacznej wartości rzeczy, o której mowa w 1, sprawca podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 293 1.Przepisy art. 291 i 292 stosuje się odpowiednio do programu komputerowego. 2.Sąd może orzec przepadek rzeczy określonej w 1 oraz w art. 291 i 292, chociażby nie stanowiła ona własności sprawcy. Art. 278 Kary wg Kodeksu Karnego c.d. 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej.
UMOWA O AUDYT OPROGRAMOWANIA PRZYGOTOWANIE DANYCH DO AUDYTU: ILOŚĆ KOMPUTERÓW ZGROMADZENIE DOKUMENTACJI LICENCYJNEJ UPOWAŻNIENIE DLA AUDYTORA Audyt krok po kroku INWENTARYZACJA OPROGRAMOWANIA: SKANOWANIE KOMPUTERÓW SPIS DOKUMENTACJI LICENCYJNEJ WDROŻENIE PROGRAMU NAPRAWCZEGO ANALIZA DANYCH TAK POZYTYWNY WYNIK NIE RAPORT KOŃCOWY ORAZ CERTYFIKAT LEGALNOŚCI RAPORT WSTĘPNY ORAZ PROGRAM NAPRAWCZY
Metryki komputerów Sposoby instalacji Sposoby serwisu Zakupy Aneksy do umów Szkolenia Zabezpieczenia danych Regulamin Zalecane Procedury
Audyt wraz z Wprowadzeniem Procedur Zarządzania Oprogramowania Przeniesienie odpowiedzialności na pracowników (użytkowników komputerów)
Bezpieczeństwo IT dokumentacja i procedury-wymogi czy dobra praktyka
Szkolenia pracowników i monitoring Legalność Programy antywirusowe Dokumentacja techniczna i Polityka bezpieczeństwa Ciągłość Procesów Biznesowych Kopie danych (Backup) i ich weryfikacja Podatność na włamania Gwarantowane SLA (Service Level Agreement) Zasilanie awaryjne Odpowiednia architektura sieci
Wpływ czasu przestoju na koszty
Z opublikowanego badania przeprowadzonego przez Mediarecovery, lidera informatyki śledczej w Polsce wynika, iż specjaliści bezpieczeństwa IT za największe zagrożenie dla firm uznają głupotę pracowników. Głupota pracowników 79% Brak wiedzy administratorów 25% Hakerstwo 9% Piractwo komputerowe 4% Bardzo często zalecenia działu IT są ignorowane, a problem zaczyna się już na szczeblu zarządu, który też nie zawsze zdaje sobie sprawę ze współczesnych zagrożeń, często nie rozumie potrzeby wprowadzania proponowanych rozwiązań.
Pytania i odpowiedzi
Dziękujemy za uwagę Marek Hajduk marek.h@xc.com.pl Grzegorz Gawliczek grzegorz.g@xc.com.pl