prezentacja

Wymagania prawne dla
oprogramowania w świetle przepisów
prawa
Marzena Kwaczyńska
Dorota Szczęsnowicz-Kocięcka
Compliance (z ang. zgodność) – osiągnięcie
zgodności z przepisami prawa, normami,
wymaganiami regulatorów rynku, regulacjami
wewnętrznymi.
Ustawa “Sarbanes- Oxley Act” (SOX),
umowny początek dyskusji o compliance w IT
Czy jestem legalnym użytkownikiem
oprogramowania ?
Prawo do korzystania z oprogramowania w
rozumieniu ustawy o prawie autorskim i
prawach pokrewnych z dnia 4 lutego 1994 r. (Dz.
U. Nr 24, poz. 83).
Dylemat twórcy, jak osiągnąć zgodność oprogramowania z
prawem ?
Klauzula umowna:
„Oprogramowanie na spełniać wymogi przepisów prawa”
Oczywista oczywistość, ale ….
??
Kto zdefiniuje - jakie przepisy, jakie normy?
Rola stron umowy
Development oprogramowania
Wymogi prawne dla oprogramowania
definiujemy case by case
Ale tytułem przykładu na kolejnych slajdach …
Zarządzanie bezpieczeństwem informacji
Norma ISO/IEC 27001 (PN-ISO/IEC 27001)
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych
(Dz. U. 2014, poz. 1182 t.j.)
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I
ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. 2004, Nr 100, poz.
1024)
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji
niejawnych (Dz. U. 2010, Nr 182, poz. 1228)
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca
2011 r. w sprawie podstawowych wymagań bezpieczeństwa
teleinformatycznego (Dz. U. 2011, Nr 159, poz. 948)
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca
2011 r. w sprawie wzoru świadectwa akredytacji
bezpieczeństwa systemu teleinformatycznego Dz. U. 2011, Nr
156, poz. 926)
USTAWA z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz.U.2013, poz. 1422)
Ustawa z dnia 29 września 1994 r. o
rachunkowości (Dz. U. 1994, Nr 121, poz. 591)
USTAWA z dnia 16 listopada 2000 r. o
przeciwdziałaniu praniu pieniędzy oraz
finansowaniu terroryzmu (Dz. U. 2014, poz. 455, t.j.)
ROZPORZĄDZENIE MINISTRA FINANSÓW z dnia 21
września 2001 r. w sprawie określenia wzoru
rejestru transakcji, sposobu jego prowadzenia oraz
trybu dostarczania danych z rejestru Generalnemu
Inspektorowi Informacji Finansowej (Dz. U. 2001, Nr
113, poz. 120)
USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne (Dz. U. Dz. U. 2014 r. poz. 1114 t. j.)
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie
Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych
wymagań dla systemów teleinformatycznych (Dz. U. 2012, poz. 526)
ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 6 maja 2014 r. w
sprawie zakresu i warunków korzystania z elektronicznej platformy usług
administracji publicznej (Dz. U. 2014, poz. 584)
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 14 września 2011 r. w
sprawie sporządzania i doręczania dokumentów elektronicznych oraz
udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz. U.
2011, Nr 206, poz. 1216)
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 21
kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i
technicznych, które powinien spełniać system teleinformatyczny służący do
identyfikacji użytkowników (Dz. U. 2011, Nr 93, poz. 545)
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 10
września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia
kontroli projektów informatycznych i systemów teleinformatycznych (Dz. U. 2010,
Nr 177, poz. 1195)
ROZPORZĄDZENIE MINISTRA NAUKI I INFORMATYZACJI z dnia 19 października
2005 r. w sprawie testów akceptacyjnych oraz badania oprogramowania
interfejsowego i weryfikacji tego badania (Dz. U. 2005, Nr 217, poz. 1836)
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 27 września 2005 r. w sprawie
sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze
publicznym (Dz. U. 2005, Nr 205, poz. 1692)
USTAWA z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U.
2011, Nr. 113, poz. 657)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 24 września 2013 r. w sprawie Systemu
Wspomagania Ratownictwa Medycznego (Dz. U. 2013, poz. 1181)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 sierpnia 2013 r. w sprawie opisu,
minimalnej funkcjonalności oraz warunków organizacyjno-technicznych
funkcjonowania Platformy Udostępniania On-Line Usług i Zasobów Cyfrowych
Rejestrów Medycznych oraz Elektronicznej Platformy Gromadzenia, Analizy i
Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych (Dz. U. 2013, poz. 1001)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 sierpnia 2013 r. w sprawie
minimalnych wymagań dla niektórych systemów teleinformatycznych funkcjonujących
w ramach systemu informacji w ochronie zdrowia (Dz. U. 2013, poz. 999)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 9 lipca 2013 r. w sprawie Systemu
Monitorowania Zagrożeń (Dz. U. 2013, poz. 853)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 25 czerwca 2013 r. w sprawie Systemu
Statystyki w Ochronie Zdrowia (Dz. U. 2013, poz. 770)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 14 czerwca 2013 r. w sprawie Rejestru
Medycznie Wspomaganej Prokreacji (Dz. U. 2013, poz.721)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 6 czerwca 2013 r. w sprawie Systemu
Ewidencji Zasobów Ochrony Zdrowia (Dz. U. 2013, poz. 671)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 6 czerwca 2013 r. w sprawie Systemu
Monitorowania Kosztów Leczenia i Sytuacji Finansowo-Ekonomicznej Podmiotów
Leczniczych (Dz. U. 2013, poz. 670)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 19 kwietnia 2013 r. w sprawie Systemu
Rejestru Usług Medycznych Narodowego Funduszu Zdrowia (Dz. U. 2013, poz. 514)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 28 marca 2013 r. w sprawie wymagań dla
Systemu Informacji Medycznej (Dz. U. 2013, poz. 463)
ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 15 marca 2013 r. w sprawie wzoru wniosku o
przekazanie raportu z udostępnienia danych przetwarzanych w Systemie Informacji
Medycznej ( Dz. U. 2013, poz. 436)
Trudna decyzja: audyt wewnętrzny czy
kontrola zewnętrzna, a może „idziemy na
żywioł”?
Zalecenia dla banków w temacie audytu IT w
Rekomendacji D Komisji Nadzoru
Finansowego
Akredytacja systemu teleinformatycznego
przetwarzającego informacje niejawne
Kontrola działania systemów
teleinformatycznych używanych do realizacji
zadań publicznych
Audyt legalności oprogramowania
Certyfikacja aplikacji pod kątem wymogów
przepisów prawa lub norm
Certyfikacja audytorów IT: CISA, CISSP,CGEIT,
normy ISO
GESSEL
Kancelaria Prawna
ul. Sienna 39
00-121 Warszawa
tel. +48 (22) 318-69-01
fax. +48 (22) 318-69-31
e-mail: [email protected]
www.gessel.pl