Prezentacja: Kluczowe aspekty funkcjonowania działów IT

Kluczowe aspekty funkcjonowania działów IT
Agenda spotkania:
•Obowiązki, jakie wynikają z ustawy o ochronie danych osobowych
•Odpowiedzialność kierownictwa i działów IT z zakresu legalności
oprogramowania
•Bezpieczeństwo IT – dokumentacja i procedury- wymogi czy dobra
praktyka ?
•Pytania i odpowiedzi
Marek Hajduk (X-COM)
Absolwent Uniwersytetu Śląskiego – wydział prawa. Wspólnik w firmie X-COM z 16 letnim
doświadczenie w realizacji projektów informatycznych. Specjalista ds. bezpieczeństwa
teleinformatycznego. Od 10 lat czynny audytor IT. Posiada certyfikaty: Microsoft Certified
Professional,
Microsoft Certified Technology Specialist, ISecMan, Administrator
bezpieczeństwa danych niejawnych. Konsultant z zakresu bezpieczeństwa i ochrony danych
osobowych z umiejętnością implementacji aktualnych przepisów prawnych w organizacjach.
Grzegorz Gawliczek (X-COM)
Absolwent Politechniki Śląskiej. Wspólnik w jednej z czołowych firm audytorskich z zakresu
teleinformatyki. Wieloletni audytor Legalności Oprogramowania z uprawnieniami do
wykonywania audytów w ramach programu Microsoft Software Assets Management, Adobe
SAM Partner Program oraz Programu Certyfikacji Oprogramowania Autodesk. Microsoft
Certificated Professional, Certified Technology Specialist. Praktyka w przeprowadzaniu
audytów opartych o nowe wytyczne normy ISO 19770. Doświadczenie z zakresie polityk
zarządzania oprogramowaniem, poparte ilością przeprowadzonych audytów oraz licznymi
szkoleniami i uczestnictwem w konferencjach.
Zaufali nam m.in. :
Obowiązki, jakie wynikają z ustawy o ochronie
danych osobowych
Dane
osobowe
Firma
Obowiązki
Dane osobowe + ochrona danych osobowych = czy mnie to dotyczy ?
Co to jest zbiór danych
Ochrona
danych osobowych
osobowych
Kto musi rejestrować
swoje zbiory
Zwolnienia obowiązku
rejestracji
Jak zarejestrować zbiór
danych osobowych
Co to jest zbiór danych
osobowych
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór rozumieniu przepisów ustawy
ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie
danych osobowych zestawie. Możliwość wyszukania według jakiegokolwiek kryterium
osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data
zamieszczenia danych zbiorze) przesądza uporządkowanym charakterze zestawu danych
tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Kto musi rejestrować
swoje zbiory
Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych ciąży na administratorze danych, czyli podmiocie decydującym ocelach środkach
przetwarzania danych osobowych.
Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak
prywatnym. Administratorem danych może być organ państwowy, organ samorządu
terytorialnego, państwowa komunalna jednostka organizacyjna, także podmiot niepubliczny
realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna
niebędąca osobą prawną, jeżeli przetwarza dane osobowe związku działalnością zarobkową,
zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot
ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi,
drodze umowy na podstawie art. 31 ustawy ochronie danych osobowych.
Zwolnienia obowiązku
rejestracji
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
objętych tajemnicą państwową,
osób należących do kościoła lub związku wyznaniowego,
przetwarzanych związku z zatrudnieniem,
dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej,
radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, itp.,
dotyczących osób pozbawionych wolności
przetwarzanych wyłącznie celu wystawienia faktury, lub prowadzenia księgowości,
powszechnie dostępnych,
przetwarzanych w celu przygotowania opracowania wymaganego do uzyskania dyplomu
ukończenia szkoły wyższej
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego
Jak zarejestrować zbiór
danych osobowych
1. Wniosek o wpisanie
2. Oznaczenie podmiotu
3. Cel przetwarzania
4. Sposób zbierania, oraz udostępniania
5. Opracowanie i wdrożenie polityki bezpieczeństwa
6. Opis środków technicznych
Jak zarejestrować zbiór
danych osobowych
1. Wniosek o wpisanie 2. Oznaczenie podmiotu
3. Cel przetwarzania
4. Sposób zbierania, oraz udostępniania
5. Opracowanie i wdrożenie polityki bezpieczeństwa
6. Opis środków technicznych
Od 1 stycznia 2012 r. zaczęły obowiązywać nowe przepisy prawa mające istotny wpływ
na ochronę danych osobowych.
Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych będą dotyczyły informacji identyfikujących przedsiębiorców
w obrocie gospodarczym
Szczególne przypadki
A gdy się pojawią problemy
Odpowiedzialność kierownictwa z zakresu
legalności oprogramowania
Kto może kontrolować legalność
• Organy uprawnione do przeszukiwania pomieszczeń
o Policja
o Straż graniczna
o UKS
o Służba Celna
• Przeszukanie jako środek dowodowy
o Nakaz prokuratora (przeszukanie pomieszczenia)
o Bez nakazu – w przypadkach nie cierpiących zwłoki (5 dni na dostarczenie
nakazu, inaczej dowody nieważne)
o Regulowane w Kodeksie Postępowania Karnego
o Utrudnianie przeszukania jest przestępstwem (podawanie haseł, wykonywanie
poleceń)
Możliwe zagrożenia przed wdrożeniem Procedur
Zarządzania Oprogramowaniem
•
•
•
•
•
Utrudnione zarządzanie zasobami IT w firmie
Niewiedza pracowników na temat wykorzystywania oprogramowania
Niewłaściwa dystrybucja wewnętrzna
Niekompletna dokumentacja
Brak procedur bezpieczeństwa
•
Ryzyko odpowiedzialności prawnej kierownictwa.
Odpowiedzialność karna
Kto odpowiada
Informatycy
Wina
Zarząd
Zamiar
Dyrektorzy
Lekkomyślność
Użytkownicy
Niedbalstwo
Kto zazwyczaj odpowiada karnie?
Członkowie kierownictwa firmy i właściciele, gdy:
polecają pracownikom nielegalną instalację; wiedzą, że firma posiada
nielegalne oprogramowanie i nie podejmują niezwłocznie działań naprawczych.
Osoby pracujące w firmie na komputerach gdy:
instalują oprogramowanie samodzielnie; zrobią dla swoich celów domowych
kopię programu zainstalowanego w firmie (i odwrotnie)
Informatycy i osoby odpowiedzialne za system komputerowy gdy:
instalują systemy lub programy bez odpowiedniej licencji (niezależnie od tego,
czy robią to z polecenia kierownictwa, czy z własnej inicjatywy).
Kiedy ryzykuje użytkownik?
Programy z
zewnątrz
Internet
Dom
Gazeta
Dokumentacja
Zgubienie /
Zniszczenie
Niekontrolowany
przepływ
Samodzielna
Instalacja
Nielicencjonowane
kopie
Nieprawidłowe
wersje
Niepoprawne
klucze
licencyjne
Kiedy ryzykuje informatyk?
Kiedy ryzykuje zarząd?
Przestępstwo – oczywiście!!!
Kary wg Ustawy o Prawie Autorskim
Art. 79.
Ust 1. Twórca może żądać od osoby, która naruszyła jego autorskie prawa
majątkowe, zaniechania naruszenia, wydania uzyskanych korzyści albo
zapłacenia w podwójnej, a w przypadku gdy naruszenie jest zawinione,
potrójnej wysokości stosownego wynagrodzenia z chwili jego dochodzenia;
twórca może również żądać naprawienia wyrządzonej szkody, jeżeli działanie
naruszającego było zawinione.
Przestępstwo – oczywiście!!!
Kary wg Ustawy o Prawie Autorskim
Art. 116.
Nielegalne rozpowszechnianie oprogramowania (np: internet)
1. Kto bez uprawnienia albo wbrew jego warunkom rozpowszechnia cudzy
utwór w wersji oryginalnej albo w postaci opracowania, artystyczne
wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2
2. Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 w celu
osiągnięcia korzyści majątkowej, podlega karze pozbawienia wolności
do lat 3
3. Jeżeli sprawca uczynił sobie z popełniania przestępstwa określonego w
ust. 1 stałe źródło dochodu albo działalność przestępną, określoną w ust. 1,
organizuje lub nią kieruje, podlega karze pozbawienia wolności od 6 miesięcy
do lat 5
4. Jeżeli sprawca czynu określonego w ust. 1 działa nieumyślnie, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Przestępstwo – oczywiście!!!
Kary wg Ustawy o Prawie Autorskim
Art. 118 (1).
Łamanie zabezpieczeń programu (np.cracki)
1. Kto wytwarza przedmioty przeznaczone do niedozwolonego usuwania lub
obchodzenia technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem lub
zwielokrotnianiem utworu bądź też służące do nielegalnego odbioru nadawanych
programów, przeznaczonych dla zamkniętego grona odbiorców, uzyskujących do nich
dostęp po zapłaceniu wynagrodzenia usługodawcy, albo dokonuje obrotu takimi
przedmiotami, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 3..
2. Kto posiada, przechowuje lub wykorzystuje przedmioty, o których mowa w ust. 1,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Kary wg Kodeksu Karnego
Art. 291
1. Kto rzecz uzyskaną za pomocą czynu zabronionego nabywa lub pomaga do jej zbycia
albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega karze pozbawienia wolności
od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do roku.
Art. 292
1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może
przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga
do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
2. W wypadku znacznej wartości rzeczy, o której mowa w § 1, sprawca podlega karze
pozbawienia wolności od 3 miesięcy do lat 5.
Kary wg Kodeksu Karnego c.d.
Art. 293
1. Przepisy art. 291 i 292 stosuje się odpowiednio do programu komputerowego.
2. Sąd może orzec przepadek rzeczy określonej w § 1 oraz w art. 291 i 292, chociażby nie
stanowiła ona własności sprawcy.
Art. 278
1.
Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze
pozbawienia wolności od 3 miesięcy do lat 5.
2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program
komputerowy w celu osiągnięcia korzyści majątkowej.
UMOWA O AUDYT OPROGRAMOWANIA
Audyt
krok po kroku
PRZYGOTOWANIE DANYCH DO AUDYTU:
•ILOŚĆ KOMPUTERÓW
•ZGROMADZENIE DOKUMENTACJI LICENCYJNEJ
•UPOWAŻNIENIE DLA AUDYTORA
WDROŻENIE PROGRAMU
NAPRAWCZEGO
INWENTARYZACJA OPROGRAMOWANIA:
•SKANOWANIE KOMPUTERÓW
•SPIS DOKUMENTACJI LICENCYJNEJ
ANALIZA DANYCH
TAK
RAPORT KOŃCOWY
ORAZ CERTYFIKAT
LEGALNOŚCI
POZYTYWNY
WYNIK
NIE
RAPORT WSTĘPNY
ORAZ PROGRAM
NAPRAWCZY
Zalecane Procedury
•
•
•
•
•
•
•
•
Metryki komputerów
Sposoby instalacji
Sposoby serwisu
Zakupy
Aneksy do umów
Szkolenia
Zabezpieczenia danych
Regulamin
Audyt wraz z Wprowadzeniem Procedur
Zarządzania Oprogramowania
Przeniesienie odpowiedzialności na pracowników
(użytkowników komputerów)
Bezpieczeństwo IT – dokumentacja i
procedury- wymogi czy dobra praktyka
Legalność
Szkolenia
pracowników
i monitoring
Dokumentacja
techniczna i
Polityka
bezpieczeństwa
Programy
antywirusowe
Kopie danych
(Backup) i ich
weryfikacja
Ciągłość
Procesów
Biznesowych
Gwarantowane
SLA (Service Level
Podatność na
włamania
Agreement)
Zasilanie
awaryjne
Odpowiednia
architektura
sieci
Wpływ czasu przestoju na koszty
Z opublikowanego badania przeprowadzonego przez Mediarecovery, lidera informatyki
śledczej w Polsce wynika, iż specjaliści bezpieczeństwa IT za największe zagrożenie dla firm
uznają głupotę pracowników.
Głupota pracowników 79%
Brak wiedzy administratorów
25%
Hakerstwo 9%
Piractwo komputerowe 4%
Bardzo często zalecenia działu IT są ignorowane, a problem zaczyna się już na szczeblu
zarządu, który też nie zawsze zdaje sobie sprawę ze współczesnych zagrożeń, często nie
rozumie potrzeby wprowadzania proponowanych rozwiązań.
Pytania i odpowiedzi
Dziękujemy za uwagę
Marek Hajduk [email protected]
Grzegorz Gawliczek [email protected]