Obowiązki (nie tylko) ~~obronnościowe
Transkrypt
Obowiązki (nie tylko) ~~obronnościowe
Wybrane obowiązki PT w zakresie bezpieczeństwa, obronności, porządku publicznego i przechowywania danych XIII Konferencja KIKE Ożarów Maz. 26-27.11.2013 Łukasz Bazański, Piotr Marciniak Obowiązki (nie tylko) ~~obronnościowe~~ 2 Obowiązki (nie tylko) ~~obronnościowe~~ Dokumenty: Czynności/zaplecze/logistyka: Raporty Logowanie Plany Rejestracja Formularze Sporządzanie kopii Zestawienia Kooperacja Wyciągi Gotowość systemów Procedury Certyfikacje Uzgodnienia (Prze-)Szkolenia Kontrole Pomieszczenia Wyjaśnienia… 8 stanowisk… 3 Obowiązki – czy rozmiar ma znaczenie? Obowiązki PT/ISP nakładane: 1. bez względu na wielkość sieci (np. raporty, retencja); 2. uzależnione od wielkości sieci lub obszaru działania (np. certyfikaty bezpieczeństwa przemysłowego, zakres uzgodnień do planów działania w sytuacji szczególnych zagrożeń). 4 Obowiązki – „trigger” Obowiązki PT/ISP : 1. stałe (retencja, raporty, plany działania, itp.); 2. na wezwanie (udostępnienie danych, możliwości rejestracji, itp.). 5 Obowiązki – kompetencje własne, a outsourcing Mnogość różnych obowiązków nakładanych na ISP, przy skromnych zasobach własnych firm mikro oraz małych, a także brak wiedzy lub kadr zdolnych je realizować/zabezpieczać powodują, że: 1. poziom i kompletność realizacji obowiązków wśród ISP są statystycznie dość niskie; 2. część operatorów poszukuje outsourcingu w tym zakresie – nie mając często wiedzy nt. nakładu pracy potrzebnej do realizacji poszczególnych zadań, możliwości ich wyceny, a także rzetelności oferenta i zakresu zadań, w realizacji których współpraca ISP jest niezbędna. 6 Obowiązki – outsourcing Rynek usług outsourcingowych w zakresie obowiązków „obronnościowych” dla ISP jest stosunkowo niewielki, ale dość często oferenci wykorzystują nieznajomość wymagań po stronie operatorów. Poradnik KIKE ma na celu przystępne omówienie wybranej grupy podstawowych obowiązków i wskazanie zakresu oraz nakładu prac potrzebnych do ich wykonania. W praktyce bowiem wszystkie z opisanych w poradniku obowiązków możliwe są do realizacji we własnym zakresie po stronie ISP. Kolejne wersje poradnika mogą być rozbudowywane o informacje nt. kolejnych obowiązków. 7 Poradnik KIKE – 5 głównych zagadnień: 1) Obowiązki przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń - plany działań 2) Zapewnienie warunków udostępniania i utrwalania danych telekomunikacyjnych dla uprawnionych podmiotów np. Policji oraz ich utrwalanie na rzecz sądu lub prokuratora; 3) Obowiązki w zakresie retencji danych telekomunikacyjnych; 4) Wypełnianie obowiązków w zakresie ochrony informacji niejawnych; 5) Wybrane, podstawowe zasady postępowania przy przetwarzaniu danych osobowych abonentów. 8 Załączniki do opracowania: 1) Wykaz aktów prawnych; 2) Wzór zawiadomienia o naruszeniu danych osobowych, 3) Wzór rejestru naruszeń danych osobowych; 4) Przykładowy system logowania w środowisku Linux; 5) Wzór formularza dotyczącego udostępniania danych 9 Obowiązki przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń Obowiązek sporządzenia planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń: w zależności od rozmiarów prowadzonej działalności: plan lokalny, rejonowy lub ogólny; udostępnienie i analiza informacji o szczególnych zagrożeniach występujących na terenie powiatu/województwa; uzgadnianie części planu działań z różnymi organami m.in. starostą/wojewodą, Prezesem UKE i Ministrem Administracji i Cyfryzacji. 10 Zapewnienie warunków udostępniania i utrwalania danych telekomunikacyjnych Tworzenie technicznych i organizacyjnych możliwości dla dostępu i utrwalania danych telekomunikacyjnych: umożliwiających tzw. uprawnionym podmiotom tj. Policji, Straży Granicznej, Agencji Bezpieczeństwa Wewnętrznego, Służbie Kontrwywiadu Wojskowego, Żandarmerii Wojskowej, Centralnemu Biuru skarbowemu tzw. Antykorupcyjnemu kontroli i korespondencji wywiadowi czyli np. nagrywanie rozmów; a także Utrwalania tych danych przez przedsiębiorcę na żądanie sądu lub prokuratora 11 Retencja danych telekomunikacyjnych - pojęcie zatrzymywanie i przechowywanie danych, określonych w art. 180c PT przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia; udostępnianie danych tzw. podmiotom uprawnionym, Służbie Celnej, sądowi i prokuraturze; ochrona danych. 12 Retencja danych telekomunikacyjnych - zakres Obowiązek udostępniania danych niezbędnych do: ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego inicjującego połączenie lub odbiorcy połączenia; określenia daty, godziny połączenia, czasu jego trwania, rodzaju połączenia i lokalizacji telekomunikacyjnego urządzenia końcowego; Precyzyjne wyszczególnienie danych objętych obowiązkiem retencji określa Rozporządzenie Ministra Infrastruktury z dnia 28 grudnia 2009 roku w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania. 13 Retencja danych telekomunikacyjnych – załącznik do opracowania Załącznik zawiera konfigurację oraz omówienie przykładowego systemu logowania ruchu IP w środowisku Linux z wykorzystaniem tcpdumpa, dla zapewnienia logowania trzech podstawowych parametrów: src IP/dst IP oraz czasu uwzględniając translację z adresacji prywatnej na publiczną. Dane te w połączeniu z bazą abonentów zapewniają możliwość odpowiedzi na blisko 100% zapytań kierowanych do ISP w zakresie potwierdzenia, czy we wskazanym czasie nastąpiło połączenie między abonentem sieci, a adresem w Internecie. 14 Obowiązki ISP w zakresie ochrony informacji niejawnych Zagadnienia konieczności świadectwa uzyskania bezpieczeństwa przemysłowego; Zagadnienia konieczności powołania i zatrudnienia pełnomocnika ds. ochrony informacji niejawnych; Zagadnienia wyodrębnienia kancelarii tajnej i zatrudnienia jej kierownika; Możliwości powierzenia wykonywania zadań innemu przedsiębiorcy telekomunikacyjnemu na podstawie zawartej umowy. 15 Przetwarzanie danych osobowych abonentów Możliwość części przetwarzania danych abonenta bez konieczności uzyskania jego uprzedniej zgody; Nowe obowiązki przedsiębiorcy telekomunikacyjnego, wobec abonenta Osobowych i Generalnego w sytuacji Inspektora naruszenia Ochrony Danych ochrony danych osobowych (przepisy dodane nowelizacją PT z 2012 r.); Tajemnica telekomunikacyjna udostępnienia danych a osobowych konieczność/możliwość abonentów innym podmiotom (publicznym i prywatnym). 16 Dyskusja Gośćmi panelu, są przedstawiciele DSO UKE: Jacek Matyszczak – dyrektor Marek Jurkiewicz Jerzy Figurski 17 Dziękujemy za uwagę! [email protected] 18