Obowiązki (nie tylko) ~~obronnościowe

Wybrane obowiązki PT w zakresie
bezpieczeństwa, obronności, porządku
publicznego i przechowywania danych
XIII Konferencja KIKE
Ożarów Maz. 26-27.11.2013
Łukasz Bazański, Piotr Marciniak
Obowiązki (nie tylko) ~~obronnościowe~~
2
Obowiązki (nie tylko) ~~obronnościowe~~
Dokumenty:
Czynności/zaplecze/logistyka:
 Raporty
 Logowanie
 Plany
 Rejestracja
 Formularze
 Sporządzanie kopii
 Zestawienia
 Kooperacja
 Wyciągi
 Gotowość systemów
 Procedury
 Certyfikacje
 Uzgodnienia
 (Prze-)Szkolenia
 Kontrole
 Pomieszczenia
 Wyjaśnienia…
 8 stanowisk…
3
Obowiązki – czy rozmiar ma znaczenie?
Obowiązki PT/ISP nakładane:
1. bez względu na wielkość sieci (np. raporty, retencja);
2. uzależnione od wielkości sieci lub obszaru działania (np.
certyfikaty bezpieczeństwa przemysłowego, zakres uzgodnień
do planów działania w sytuacji szczególnych zagrożeń).
4
Obowiązki – „trigger”
Obowiązki PT/ISP :
1. stałe (retencja, raporty, plany działania, itp.);
2. na wezwanie (udostępnienie danych, możliwości rejestracji, itp.).
5
Obowiązki – kompetencje własne, a outsourcing
Mnogość różnych obowiązków nakładanych na ISP, przy skromnych
zasobach własnych firm mikro oraz małych, a także brak wiedzy lub
kadr zdolnych je realizować/zabezpieczać powodują, że:
1. poziom i kompletność realizacji obowiązków wśród ISP są
statystycznie dość niskie;
2. część operatorów poszukuje outsourcingu w tym zakresie – nie
mając często wiedzy nt. nakładu pracy potrzebnej do realizacji
poszczególnych zadań, możliwości ich wyceny, a także
rzetelności oferenta i zakresu zadań, w realizacji których
współpraca ISP jest niezbędna.
6
Obowiązki – outsourcing
Rynek usług outsourcingowych w zakresie obowiązków
„obronnościowych” dla ISP jest stosunkowo niewielki, ale dość często
oferenci wykorzystują nieznajomość wymagań po stronie operatorów.
Poradnik KIKE ma na celu przystępne omówienie wybranej grupy
podstawowych obowiązków i wskazanie zakresu oraz nakładu prac
potrzebnych do ich wykonania. W praktyce bowiem wszystkie z
opisanych w poradniku obowiązków możliwe są do realizacji we
własnym zakresie po stronie ISP.
Kolejne wersje poradnika mogą być rozbudowywane o informacje nt.
kolejnych obowiązków.
7
Poradnik KIKE – 5 głównych zagadnień:
1) Obowiązki przedsiębiorcy telekomunikacyjnego w sytuacjach
szczególnych zagrożeń - plany działań
2) Zapewnienie warunków udostępniania i utrwalania danych
telekomunikacyjnych dla uprawnionych podmiotów np. Policji oraz
ich utrwalanie na rzecz sądu lub prokuratora;
3) Obowiązki w zakresie retencji danych telekomunikacyjnych;
4) Wypełnianie obowiązków w zakresie ochrony informacji
niejawnych;
5) Wybrane, podstawowe zasady postępowania przy przetwarzaniu
danych osobowych abonentów.
8
Załączniki do opracowania:
1) Wykaz aktów prawnych;
2) Wzór zawiadomienia o naruszeniu danych osobowych,
3) Wzór rejestru naruszeń danych osobowych;
4) Przykładowy system logowania w środowisku Linux;
5) Wzór formularza dotyczącego udostępniania danych
9
Obowiązki przedsiębiorcy telekomunikacyjnego w
sytuacjach szczególnych zagrożeń
Obowiązek
sporządzenia
planu
działań
przedsiębiorcy
telekomunikacyjnego w sytuacjach szczególnych zagrożeń:
 w zależności od rozmiarów prowadzonej działalności: plan
lokalny, rejonowy lub ogólny;
 udostępnienie
i
analiza
informacji
o
szczególnych
zagrożeniach występujących na terenie powiatu/województwa;
 uzgadnianie części planu działań z różnymi organami m.in.
starostą/wojewodą, Prezesem UKE i Ministrem Administracji i
Cyfryzacji.
10
Zapewnienie warunków udostępniania i utrwalania
danych telekomunikacyjnych
Tworzenie technicznych i organizacyjnych możliwości dla
dostępu i utrwalania danych telekomunikacyjnych:
 umożliwiających tzw. uprawnionym podmiotom tj. Policji,
Straży Granicznej, Agencji Bezpieczeństwa Wewnętrznego,
Służbie Kontrwywiadu Wojskowego, Żandarmerii Wojskowej,
Centralnemu
Biuru
skarbowemu
tzw.
Antykorupcyjnemu
kontroli
i
korespondencji
wywiadowi
czyli
np.
nagrywanie rozmów; a także
Utrwalania tych danych przez przedsiębiorcę na żądanie sądu lub
prokuratora
11
Retencja danych telekomunikacyjnych - pojęcie
 zatrzymywanie i przechowywanie danych, określonych w art.
180c PT przez okres 12 miesięcy, licząc od dnia połączenia lub
nieudanej próby połączenia;
 udostępnianie danych tzw. podmiotom uprawnionym, Służbie
Celnej, sądowi i prokuraturze;
 ochrona danych.
12
Retencja danych telekomunikacyjnych - zakres
Obowiązek udostępniania danych niezbędnych do:
 ustalenia
zakończenia
sieci,
telekomunikacyjnego
urządzenia
końcowego, użytkownika końcowego inicjującego połączenie
lub
odbiorcy połączenia;
 określenia daty, godziny połączenia, czasu jego trwania, rodzaju
połączenia i lokalizacji telekomunikacyjnego urządzenia końcowego;
Precyzyjne wyszczególnienie danych objętych obowiązkiem retencji
określa Rozporządzenie Ministra Infrastruktury z dnia 28 grudnia
2009 roku w sprawie szczegółowego wykazu danych oraz rodzajów
operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie
dostępnych
usług
telekomunikacyjnych
obowiązanych
do
ich
zatrzymywania i przechowywania.
13
Retencja danych telekomunikacyjnych
– załącznik do opracowania
Załącznik zawiera konfigurację oraz omówienie przykładowego
systemu logowania ruchu IP w środowisku Linux z wykorzystaniem
tcpdumpa, dla zapewnienia logowania trzech podstawowych
parametrów: src IP/dst IP oraz czasu uwzględniając translację z
adresacji prywatnej na publiczną.
Dane te w połączeniu z bazą abonentów zapewniają możliwość
odpowiedzi na blisko 100% zapytań kierowanych do ISP w
zakresie potwierdzenia, czy we wskazanym czasie nastąpiło
połączenie między abonentem sieci, a adresem w Internecie.
14
Obowiązki ISP w zakresie ochrony informacji
niejawnych
 Zagadnienia
konieczności
świadectwa
uzyskania
bezpieczeństwa przemysłowego;
 Zagadnienia
konieczności
powołania
i
zatrudnienia
pełnomocnika ds. ochrony informacji niejawnych;
 Zagadnienia wyodrębnienia kancelarii tajnej i zatrudnienia jej
kierownika;
 Możliwości
powierzenia
wykonywania
zadań
innemu
przedsiębiorcy telekomunikacyjnemu na podstawie zawartej
umowy.
15
Przetwarzanie danych osobowych abonentów
 Możliwość
części
przetwarzania
danych
abonenta
bez
konieczności uzyskania jego uprzedniej zgody;
 Nowe obowiązki przedsiębiorcy telekomunikacyjnego, wobec
abonenta
Osobowych
i
Generalnego
w
sytuacji
Inspektora
naruszenia
Ochrony
Danych
ochrony
danych
osobowych (przepisy dodane nowelizacją PT z 2012 r.);
 Tajemnica
telekomunikacyjna
udostępnienia
danych
a
osobowych
konieczność/możliwość
abonentów
innym
podmiotom (publicznym i prywatnym).
16
Dyskusja
Gośćmi panelu, są przedstawiciele DSO UKE:
 Jacek Matyszczak – dyrektor
 Marek Jurkiewicz
 Jerzy Figurski
17
Dziękujemy za uwagę!
[email protected]
18