Bezpieczeństwo prawne

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Bezpieczeństwo prawne
Zagadnienia prawne odgrywają bardzo ważną rolę w Zarządzaniu Bezpieczeństwem Informacji.
Zarówno w Polsce, jak i na Świecie obowiązuje szereg aktów prawnych związanych bezpośrednio
lub pośrednio z pojęciem bezpieczeństwa informacji. Organizacja ustanawiająca SZBI powinna
przygotować odpowiednie deklaracje zgodności swych procedur wewnętrznych z obowiązującym
prawem.
Własność intelektualna
Ustawa o Prawie Autorskim i Prawach Pokrewnych stanowi, że przedmiotem prawa autorskiego
jest każdy przejaw działalności twórczej oraz, że ochrona przysługuje twórcy niezależnie od
spełnienia jakichkolwiek formalności.
W Organizacji ustanawiającej SZBI Prawo Autorskie będzie mieć (z wyjątkiem sytuacji
wyjątkowych) zastosowanie w dwóch przypadkach:
1. Wykorzystywaniu cudzej własności intelektualnej na podstawie zezwolenia (licencji)
udzielonej przez właściciela praw autorskich,
2. Ochronie własnej wartości intelektualnej.
W pierwszym przypadku zapewnienie bezpieczeństwa prawnego informacji polega przede
wszystkim na sprawdzeniu, czy dysponujemy prawami do jej wykorzystywania. W przypadku
oprogramowania będzie to „licencja na korzystanie” (Right to Use). Dokument ten określa nasze
uprawnienia do wykorzystywania programu oraz warunki, pod jakimi z programu możemy
korzystać (np. liczbę komputerów lub użytkowników).
Wobec wzrostu popularności oprogramowania nieodpłatnego należy zdecydowanie podkreślić,
że i w przypadku korzystania np. z Linuksa lub LibreOffice powinniśmy bezwarunkowo
dysponować licencją określającą nasze prawa oraz warunki wykorzystywania z programem.
Udostępnienie programu za darmo jest suwerenną decyzją jego Twórcy, lecz w żadnym razie nie
ogranicza jego praw do programu (utworu). Nie znając warunków, pod jakimi Twórca udostępnia
utwór narażamy się na ich nieświadome przekroczenie.
Z korzystaniem z cudzej własności intelektualnej spotkamy się nie tylko w przypadku
programów komputerowych, lecz również przy wykorzystywaniu treści będących cudzą własnością
(publikacje, opracowania, zdjęcia, grafika – lecz również utwory muzyczne czy audiowizualne).
Organizacja powinna złożyć odpowiednią deklarację w tym zakresie.
W przypadku utworu, który został wykonany przez pracowników Organizacji na jej zlecenie
oraz w zakresie obowiązków służbowych majątkowe prawa autorskie są własnością Organizacji.
Prace wykonywane w ramach umów o dzieło itp. nie skutkują automatycznych przeniesieniem
Praw Autorskich. Konieczne jest umieszczenie w Umowie odpowiedniej klauzuli prawnej o
przeniesieniu (lub nie) praw autorskich do zamówionego dzieła (utworu).
Rozdział 12: Zgodność prawna
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Dane osobowe
Jeśli Organizacja przetwarza dane osobowe powinna spełnić wymagania odpowiedniej Ustawy,
a w szczególności określić wymagany poziom ochrony danych osobowych, opracować Politykę
bezpieczeństwa ochrony danych osobowych oraz zgłosić zbiór danych osobowych Generalnemu
Inspektorowi Ochrony Danych Osobowych i przestrzegać jego zaleceń.
Dokumentacja medyczna oraz inne przepisy branżowe
W niektórych instytucjach (np. w bankach, szpitalach) mogą obowiązywać dodatkowe przepisy
bankowe związane z zapewnieniem bezpieczeństwa informacji (np. dokumentacji medycznej).
SZBI podlega sprawdzaniu na zgodność z tymi przepisami.
Informacje niejawne
Sprawy związane z zarządzaniem informacjami niejawnymi reguluje Ustawa o Ochronie
Informacji Niejawnych (z 5 sierpnia 2010 r.). Nadzór na ochroną informacji niejawnych oraz
zabezpieczeniem pomieszczeń oraz systemów do ich przechowywania i przetwarzania sprawują
ABW oraz SKW. Kierownictwo Organizacji zobowiązane jest wyznaczenia pełnomocnika do
ochrony informacji niejawnych do współpracy z z tymi Instytucjami.
Wymagania w zakresie bezpieczeństwa informacji stawiane podmiotom publicznym
Projekt rozporządzenia RM przewiduje obowiązkowe ( w ciągu 2 lat) wprowadzenie przez
wszystkie podmioty realizujące zadania publiczne systemów zarządzania bezpieczeństwem
informacji opartych o zalecenia norm ISO/IEC:
Projekt 22‐04‐2011
ROZPORZ DZENIE
RADY MINISTRÓW
z dnia ……………………………… 2011 r.
w sprawie Krajowych Ram Interoperacyjno ci, minimalnych wymaga dla rejestrów publicznych
i wymiany
informacji w postaci elektronicznej oraz minimalnych wymaga dla systemów
teleinformatycznych
Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji dzia alno ci
podmiotów
realizuj cych zadania publiczne (Dz. U. Nr 64, poz. 565, z pó n. zm. 1)) zarz dza si , co
nast puje:
...
§ 14. 1. Podmiot realizuj cy zadania publiczne opracowuje i ustanawia, wdra a i
eksploatuje, monitoruje i
przegl da oraz utrzymuje i doskonali system zarz dzania bezpiecze stwem informacji
zapewniaj cy poufno ,
dost pno
i integralno
informacji z uwzgl dnieniem takich atrybutów jak autentyczno ,
rozliczalno ,
niezaprzeczalno
i niezawodno .
Rozdział 12: Zgodność prawna
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 2 z 3
System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
...
3. System zarz dzania bezpiecze stwem informacji spe nia wymogi, o których mowa w ust. 1
i 2, je eli
zosta opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 „Technika
informatyczna – Techniki
bezpiecze stwa – Systemy zarz dzania bezpiecze stwem informacji – Wymagania” wraz z
normami
uzupe niaj cymi lub normy go zast puj cej, a ustanawianie zabezpiecze , zarz dzanie
ryzykiem oraz
audytowanie odbywa si na podstawie Polskich Norm zwi zanych z t norm , w tym:
1) PN‐ISO/IEC 17799:2007 “Technika informatyczna – Techniki bezpiecze stwa – Praktyczne
zasady zarz dzania bezpiecze stwem informacji”,
2) PN‐ISO/IEC 27005:2010 “Technika informatyczna – Techniki bezpiecze stwa – Zarz dzanie
ryzykiem w bezpiecze stwie informacji”
3) PN‐ISO/IEC 24762:2010 “Technika informatyczna – Techniki bezpiecze stwa – Wytyczne dla
us ug odtwarzania techniki teleinformatycznej po katastrofie”.
4. W przypadkach uzasadnionych okre lonych przepisem prawa lub analiz ryzyka w systemach
teleinformatycznych podmiotów realizuj cych zadania publiczne ustanawia si dodatkowe
zabezpieczenia inney
ni te, które wynikaj z ust. 2.
Nadużywanie urządzeń do przetwarzania informacji
Urządzania przeznaczone do przechowywania, przetwarzania oraz przesyłania informacji są
własnością Organizacji i mogą być wykorzystywane jedynie do realizacji zadań służbowych.
Użytkownicy przyjmując do użytkowania sprzęt komputerowy powinni otrzymać na piśmie zasady
jego wykorzystywania oraz potwierdzić przyjęcie tych zasad podpisem.
Zgodności prawne i techniczne
Organizacja monitoruje zgodność wykorzystywanych rozwiązań, mechanizmów oraz algortymów z
przepisami prawa (np. patentowego). Przeglądy są prowadzone łącznie z audytami SZBI według
ustalonego harmonogramu.
Rozdział 12: Zgodność prawna
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 3 z 3