Bezpieczeństwo informacji a wymagania prawne
Transkrypt
Bezpieczeństwo informacji a wymagania prawne
Bezpieczeństwo informacji a wymagania prawne Wpisany przez RR Nie, 21 paź 2012 W przypadku działania organów i obsługujących je urzędów kwestią kluczową jest ich działanie zgodnie z przepisami prawa. Należy podkreślić, że istnieje wiele wymagań wynikających z przepisów normatywnych, które obligują do zachowania odpowiedniego bezpieczeństwa informacji przy jej przetwarzaniu. Często aspekty bezpieczeństwa informacji i norm prawnych są utożsamiane z przepisami dotyczącymi danych osobowych i informacji niejawnych. Oczywiście, dane osobowe i informacje niejawne to bardzo istotne aktywa informacyjne i przywoływanie ich w kontekście bezpieczeństwa informacji jest jak najbardziej zasadne. Jednakże należy zauważyć, że w praktyce działania urzędów administracji publicznej występuje wiele aspektów bezpieczeństwa informacji wynikających wprost z przepisów prawa i to nie tylko w kontekście wspomnianych wcześniej przepisów. Zasadniczy akt normatywny, który dotyczy wszystkich obywateli naszego kraju, jak również organów państwowych, czyli Konstytucja, gwarantuje nam między innymi bezpieczeństwo informacji. W art. 49 Konstytucja mówi bowiem: „Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony". Jest to ważny zapis, który gwarantuje obywatelom naszego kraju prawo do poufności. Ponadto, Konstytucja w art. 51 określa również, że: 1. „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. 1/3 Bezpieczeństwo informacji a wymagania prawne Wpisany przez RR Nie, 21 paź 2012 Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa". Konstytucja jako akt zasadniczy określa generalne warunki bezpieczeństwa informacji, wskazując na normy mogące na jej mocy określać bardziej szczegółowe zasady i procedury zapewnienie jej przetwarzania i bezpieczeństwa, które powinny być wprowadzane w randze ustawy. W związku z tą dyspozycją, jak również przyjętym w naszym kraju porządkiem prawnym, organ ustawodawczy wprowadził szereg ustaw, które odnoszą się do aspektu bezpieczeństwa informacji. Pomimo tego, że aspekty bezpieczeństwa w większości ustaw nie przebijają się na pierwszy plan, warto zwrócić uwagę, jak wiele obszarów działania, zwłaszcza władzy publicznej, jest obwarowanych wymaganiami dotyczącymi bezpieczeństwa informacji. Przechodząc do kolejnych aktów prawnych warto wskazać, że ustawa ordynacja podatkowa obliguje do zachowania poufności w stosunku do danych podatkowych podatników. Zarówno organy podatkowe, jak i starosta, marszałek województwa oraz pracownicy urzędów ich obsługujących są zobligowani do zachowania tajemnicy skarbowej. Wymagania co do bezpieczestwa informacji stawiają także przepisy ustawy z dnia 29 września 1994 r. o rachunkowości, nakazując stosowanie odpowiedniego systemu służącego ochronie danych i ich zbiorów. W związku ze współpracą urzędu z przedsiębiorcami warto także zwrócić uwagę na przepisy ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Ustawa ta określa wymagania co do poufności w zakresie przekazywania, ujawniania lub wykorzystania cudzych informacji stanowiących tajemnicę przedsiębiorstwa. Zagadnienia współpracy z przedsiębiorcami są uwarunkowane także inną regulacją prawną – ustawą z dnia 29 stycznia 2004 r. Prawo zamówień publicznych. Ustawa ta dotyczy również tajemnicy przedsiębiorcy, o której mowa powyżej, a ponadto stawia wymagania zapewniające poufność składanych przez wykonawców ofert – poufność powinna być zachowana do momentu otwarcia ofert. Ustawa Prawo zamówie publicznych stawia jednocześnie wymagania w zakresie dostępności informacji. I tak, podczas otwarcia ofert podaje się nazwy (firmy) oraz adresy wykonawców, a także informacje dotyczące ceny, terminu wykonania zamówienia, okresu gwarancji i warunków płatności zawartych w ofertach. 2/3 Bezpieczeństwo informacji a wymagania prawne Wpisany przez RR Nie, 21 paź 2012 Wiele działań prowadzonych w urzędzie jest realizowanych na podstawie ustawy Kodeks postępowania administracyjnego. Ustawa ta gwarantuje stronom postępowania dostępność do akt spraw, jednocześnie określając ich poufność – akta spraw powinny być dostępne stronom postępowania, co oznacza, że nie można traktować ich, co do zasady, jako informacji powszechnie dostępnej. Przepisem o randze ustawowej o dużym znaczeniu z punktu widzenia zasad obowiązujących w państwie prawa, a zarazem w sposób istotny wpływającym na aspekty bezpieczeństwa informacji, jest ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Ustawa ta określa, jakie informacje urząd ma obowiązek udostępniać, a więc, posługując się pojęciami charakterystycznymi dla bezpieczeństwa informacji, zapewnić ich dostępność, oraz pod jakimi warunkami informacje te nie są udostępniane. Jedną z informacji, którą urząd ma obowiązek udostępnić, jest informacja o wyniku naboru, co wynika także z ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych. Jak wynika z powyższego krótkiego przeglądu regulacji ustawowych, pracowników administracji publicznej obowiązują regulacje o charakterze normatywnym, które wymagają zachowania poufności podczas całego czasu przetwarzania informacji (np. tajemnica przedsiębiorcy, tajemnica skarbowa) albo do określonego momentu (np. treść oferty wykonawcy składanej w trybie zamówień publicznych, do czasu otwarcia ofert), wymagają zachowania dostępności (informacje publiczne) oraz integralności (np. dane rachunkowe). Ważne: Podstawowym aktem prawnym, który określa wymagania dla bezpieczeństwa informacji, jest Konstytucja RP. Na podstawie konstytucji w drodze ustaw zostały wprowadzone rozwiązania związane z zapewnieniem bezpieczeństwa zarówno w zakresie poufności informacji, jak i jej dostępności oraz integralności. Należy pamiętać, że z punktu widzenia przepisów prawa oraz istoty bezpieczeństwa informacji w urzędzie administracji publicznej równie ważne są kwestie tak zachowania poufności, jak i dostępności informacji, a także jej integralności. Źródło: Bezpieczeństwo informacji, Tadeusz Zawistowski, FRDL, Warszawa 2012 W kolejnym tygodniu napiszemy więcej o systemie zarządzania bezpieczeństwem informacji. 3/3