Regulacje prawne Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
Regulacje prawne Wymienione zastaną regulacje prawne związane z bezpieczeństwem systemów teleinformatycznych Poza wymienionymi istnieje też szereg innych przepisów i zarządzeń, które regulują już szczegółowo dane zakresy tematyczne. Przykład: Rekomendacja D Generalnego Inspektoratu Nadzoru Bankowego (która określa obowiązek prowadzenia audytu systemów informatycznych w sektorze bankowym) 2
Konstytucja Rzeczypospolitej Polskiej Konstytucja Rzeczypospolitej Polskiej, tekst uchwalony w dniu 2 kwietnia 1997 r. przez Zgromadzenie Narodowe, rozdział II Wolności, prawa i obowiązki człowieka i obywatela, Wolności i prawa osobiste (art. 47, 49, 51). 3
Ustawa o rachunkowości. Ustawa z dnia 29 września 1994r. o rachunkowości, Dz.U. nr 121, poz. 591, z późniejszymi zmianami (34 akty zmieniające). Ustawa ta zawiera wymogi nałożone na osoby prowadzące księgi rachunkowe za pomocą systemów informatycznych. Usługodawca nadaje szczególne znaczenie bezpieczeństwu danych, a także zrównuje moc dowodową zapisu elektronicznego z zapisem tradycyjnym. Istnieją zapisy dotyczące technologii informatycznego przetwarzania danych, dotyczące kontroli ciągłości zapisów, wielowymiarowości analizy i klasyfikacji zdarzeń. Na chwilę obecną nie ma odniesienie do standardów międzynarodowych dotyczących audytu informatycznego. 4
Ustawa o ochronie danych osobowych (1/3) Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych, Dz.U. nr 133, poz. 883 (zmiany: Dz.U. 1999 nr 110, poz. 1255, Dz.U. 2000 nr 12, poz. 136, Dz.U. 2000 nr 50, poz. 580, Dz.U. 2000 nr 116, poz. 1216, Dz.U. 2001 nr 42, poz. 474, Dz.U. 2001 nr 49, poz. 509, Dz.U. 2001 nr 100, poz. 1087, Dz.U. 2002 nr 74, poz. 676, Dz.U. 2002 nr 153, poz. 1271, Dz.U. 2004 nr 25, poz. 219, Dz.U. 2004 nr 33, poz. 285). Wprowadzone są poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym takie jak: poziom podstawowy, podwyższony i wysoki, zakwalifikowanie danych do któregokolwiek z nich zależy od kategorii przetwarzanych danych i istniejących zagrożeń. 5
Ustawa o ochronie danych osobowych (2/3) Administrator danych musi dostosować system informatyczny do wytycznych, a system informatyczny powinien spełniać określone wymogi. Niezbędnym działaniem jest ocena ryzyka w celu określenia potrzeb w zakresie zabezpieczenia zbiorów przetwarzanych danych. Również poważnym wymogiem jest monitorowanie działania wdrożonych zabezpieczeń w celu ochrony danych i ich przetwarzania. 6
Ustawa o ochronie danych osobowych (3/3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji, w sprawie określenia podstawowych warunków technicznych i organizacji, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych załącznik A, VII informuje że: Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej 7
Ustawa o ochronie informacji niejawnych (1/2) Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych, Dz.U. nr 11, poz. 95, (zmiany: Dz.U. 2000 nr 12, poz. 136, Dz.U. 2000 nr 39, poz. 462, Dz.U. 2001 nr 22, poz. 247, Dz.U. 2001 nr 27, poz. 298, Dz.U. 2001 nr 56, poz. 580, Dz.U. 2001 nr 110, poz. 1189, Dz.U. 2001 nr 123, poz. 1353, Dz.U. 2001 nr 154, poz. 1800, Dz.U. 2002 nr 74, poz. 676, Dz.U. 2002 nr 89, poz. 804, Dz.U. 2002 nr 153, poz. 1271, Dz.U. 2003 nr 17, poz. 155, Dz.U. 2004 nr 29, poz. 257, Dz.U. 2005 nr 85, poz. 727). 8
Ustawa o ochronie informacji niejawnych (2/2) Wymagane jest nie tylko prowadzenie audytu bezpieczeństwa systemu informatycznego ale audyt jest stałym obowiązkiem przy formułowaniu i modyfikowaniu szczególnych wymagań bezpieczeństwa dla systemu informatycznego przetwarzającego informacje niejawne. Procedury bezpieczeństwa eksploatacji zawierają szczegółowy wykaz czynności dla administrowania systemem, ochrony kryptograficznej, elektromagnetycznej i fizycznej, bezpieczeństwa urządzeń i oprogramowania, zapewnienia ciągłości działania systemu oraz audytu bezpieczeństwa. 9
inne Ustawa o świadczeniu usług drogą elektroniczną Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną, Dz.U. nr 144, poz. 1204, (zmiany: Dz.U. 2004 nr 96, poz. 959, Dz.U. 2004 nr 173, poz. 1808). Ustawa o podpisie elektronicznym Ustawa z dnia 18 września 2001r. o podpisie elektronicznym, Dz.U. nr 130, poz. 1450 (zmiany: Dz.U. 2002 nr 153, poz. 1271, Dz.U. 2003 nr 124, poz. 1152, Dz.U. 2003 nr 217, poz. 2125, Dz.U. 2004 nr 96, poz. 959, Dz.U. 2005 nr 64, poz. 565). Ustawa o zwalczaniu nieuczciwej konkurencji Ustawa z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji, Dz.U. nr 47, poz. 211, z późniejszymi zmianami (15 aktów zmieniających). 10
inne Ustawa o elektronicznych instrumentach płatniczych Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych, Dz.U. nr 169, poz. 1385 (zmiany: Dz.U. 2004 nr 91, poz. 870, Dz.U. 2004 nr 96, poz. 959). Rozporządzenie Prezesa Rady Ministrów Rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, Dz.U. 2005 nr 171, poz. 1433. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie określenia podstawowych warunków technicznych i organizacji, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. 2005, nr 100, poz. 1024. 11
Regulacje prawne K O N I E C