Bezpieczeństwo prawne
Transkrypt
Bezpieczeństwo prawne
System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Bezpieczeństwo prawne Zagadnienia prawne odgrywają bardzo ważną rolę w Zarządzaniu Bezpieczeństwem Informacji. Zarówno w Polsce, jak i na Świecie obowiązuje szereg aktów prawnych związanych bezpośrednio lub pośrednio z pojęciem bezpieczeństwa informacji. Organizacja ustanawiająca SZBI powinna przygotować odpowiednie deklaracje zgodności swych procedur wewnętrznych z obowiązującym prawem. Własność intelektualna Ustawa o Prawie Autorskim i Prawach Pokrewnych stanowi, że przedmiotem prawa autorskiego jest każdy przejaw działalności twórczej oraz, że ochrona przysługuje twórcy niezależnie od spełnienia jakichkolwiek formalności. W Organizacji ustanawiającej SZBI Prawo Autorskie będzie mieć (z wyjątkiem sytuacji wyjątkowych) zastosowanie w dwóch przypadkach: 1. Wykorzystywaniu cudzej własności intelektualnej na podstawie zezwolenia (licencji) udzielonej przez właściciela praw autorskich, 2. Ochronie własnej wartości intelektualnej. W pierwszym przypadku zapewnienie bezpieczeństwa prawnego informacji polega przede wszystkim na sprawdzeniu, czy dysponujemy prawami do jej wykorzystywania. W przypadku oprogramowania będzie to „licencja na korzystanie” (Right to Use). Dokument ten określa nasze uprawnienia do wykorzystywania programu oraz warunki, pod jakimi z programu możemy korzystać (np. liczbę komputerów lub użytkowników). Wobec wzrostu popularności oprogramowania nieodpłatnego należy zdecydowanie podkreślić, że i w przypadku korzystania np. z Linuksa lub LibreOffice powinniśmy bezwarunkowo dysponować licencją określającą nasze prawa oraz warunki wykorzystywania z programem. Udostępnienie programu za darmo jest suwerenną decyzją jego Twórcy, lecz w żadnym razie nie ogranicza jego praw do programu (utworu). Nie znając warunków, pod jakimi Twórca udostępnia utwór narażamy się na ich nieświadome przekroczenie. Z korzystaniem z cudzej własności intelektualnej spotkamy się nie tylko w przypadku programów komputerowych, lecz również przy wykorzystywaniu treści będących cudzą własnością (publikacje, opracowania, zdjęcia, grafika – lecz również utwory muzyczne czy audiowizualne). Organizacja powinna złożyć odpowiednią deklarację w tym zakresie. W przypadku utworu, który został wykonany przez pracowników Organizacji na jej zlecenie oraz w zakresie obowiązków służbowych majątkowe prawa autorskie są własnością Organizacji. Prace wykonywane w ramach umów o dzieło itp. nie skutkują automatycznych przeniesieniem Praw Autorskich. Konieczne jest umieszczenie w Umowie odpowiedniej klauzuli prawnej o przeniesieniu (lub nie) praw autorskich do zamówionego dzieła (utworu). Rozdział 12: Zgodność prawna (C) Tomasz Barbaszewski Materiał szkoleniowy str. 1 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Dane osobowe Jeśli Organizacja przetwarza dane osobowe powinna spełnić wymagania odpowiedniej Ustawy, a w szczególności określić wymagany poziom ochrony danych osobowych, opracować Politykę bezpieczeństwa ochrony danych osobowych oraz zgłosić zbiór danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych i przestrzegać jego zaleceń. Dokumentacja medyczna oraz inne przepisy branżowe W niektórych instytucjach (np. w bankach, szpitalach) mogą obowiązywać dodatkowe przepisy bankowe związane z zapewnieniem bezpieczeństwa informacji (np. dokumentacji medycznej). SZBI podlega sprawdzaniu na zgodność z tymi przepisami. Informacje niejawne Sprawy związane z zarządzaniem informacjami niejawnymi reguluje Ustawa o Ochronie Informacji Niejawnych (z 5 sierpnia 2010 r.). Nadzór na ochroną informacji niejawnych oraz zabezpieczeniem pomieszczeń oraz systemów do ich przechowywania i przetwarzania sprawują ABW oraz SKW. Kierownictwo Organizacji zobowiązane jest wyznaczenia pełnomocnika do ochrony informacji niejawnych do współpracy z z tymi Instytucjami. Wymagania w zakresie bezpieczeństwa informacji stawiane podmiotom publicznym Projekt rozporządzenia RM przewiduje obowiązkowe ( w ciągu 2 lat) wprowadzenie przez wszystkie podmioty realizujące zadania publiczne systemów zarządzania bezpieczeństwem informacji opartych o zalecenia norm ISO/IEC: Projekt 22‐04‐2011 ROZPORZ DZENIE RADY MINISTRÓW z dnia ……………………………… 2011 r. w sprawie Krajowych Ram Interoperacyjno ci, minimalnych wymaga dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga dla systemów teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji dzia alno ci podmiotów realizuj cych zadania publiczne (Dz. U. Nr 64, poz. 565, z pó n. zm. 1)) zarz dza si , co nast puje: ... § 14. 1. Podmiot realizuj cy zadania publiczne opracowuje i ustanawia, wdra a i eksploatuje, monitoruje i przegl da oraz utrzymuje i doskonali system zarz dzania bezpiecze stwem informacji zapewniaj cy poufno , dost pno i integralno informacji z uwzgl dnieniem takich atrybutów jak autentyczno , rozliczalno , niezaprzeczalno i niezawodno . Rozdział 12: Zgodność prawna (C) Tomasz Barbaszewski Materiał szkoleniowy str. 2 z 3 System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 ... 3. System zarz dzania bezpiecze stwem informacji spe nia wymogi, o których mowa w ust. 1 i 2, je eli zosta opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 „Technika informatyczna – Techniki bezpiecze stwa – Systemy zarz dzania bezpiecze stwem informacji – Wymagania” wraz z normami uzupe niaj cymi lub normy go zast puj cej, a ustanawianie zabezpiecze , zarz dzanie ryzykiem oraz audytowanie odbywa si na podstawie Polskich Norm zwi zanych z t norm , w tym: 1) PN‐ISO/IEC 17799:2007 “Technika informatyczna – Techniki bezpiecze stwa – Praktyczne zasady zarz dzania bezpiecze stwem informacji”, 2) PN‐ISO/IEC 27005:2010 “Technika informatyczna – Techniki bezpiecze stwa – Zarz dzanie ryzykiem w bezpiecze stwie informacji” 3) PN‐ISO/IEC 24762:2010 “Technika informatyczna – Techniki bezpiecze stwa – Wytyczne dla us ug odtwarzania techniki teleinformatycznej po katastrofie”. 4. W przypadkach uzasadnionych okre lonych przepisem prawa lub analiz ryzyka w systemach teleinformatycznych podmiotów realizuj cych zadania publiczne ustanawia si dodatkowe zabezpieczenia inney ni te, które wynikaj z ust. 2. Nadużywanie urządzeń do przetwarzania informacji Urządzania przeznaczone do przechowywania, przetwarzania oraz przesyłania informacji są własnością Organizacji i mogą być wykorzystywane jedynie do realizacji zadań służbowych. Użytkownicy przyjmując do użytkowania sprzęt komputerowy powinni otrzymać na piśmie zasady jego wykorzystywania oraz potwierdzić przyjęcie tych zasad podpisem. Zgodności prawne i techniczne Organizacja monitoruje zgodność wykorzystywanych rozwiązań, mechanizmów oraz algortymów z przepisami prawa (np. patentowego). Przeglądy są prowadzone łącznie z audytami SZBI według ustalonego harmonogramu. Rozdział 12: Zgodność prawna (C) Tomasz Barbaszewski Materiał szkoleniowy str. 3 z 3