BSI - aspekty prawne, normy, procedury, polityki

Polskie Normy w zarządzaniu bezpieczeństwem
informacji
Normy dotyczące systemów zarządzania:
•
•
•
Typ A - Normy zawierające wymagania dotyczące systemu zarządzania,
Typ B - Normy zawierające wytyczne dotyczące systemu zarządzania,
Typ C - Normy związane z systemami zarządzania.
•
Pierwsze normy bezpieczeństwa - IETF (ang. ‘The Internet Engineering Task Force’) w
postaci standardu RFC 2196 (podejście techniczne, ograniczone do zagadnień sieciowych).
Przełomowa norma brytyjska BS 7799, która objęła swoim zakresem ochronę informacji
w organizacjach (instytucjach).
•
Normą pierwszego typu (typ A) zawierającą wytyczne dotyczące systemu zarządzania
jest Polska Norma PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem informacji
– Część 2: Specyfikacja i wytyczne do stosowania”. Jest ona dosłownym tłumaczeniem normy
brytyjskiej BS 7799-2:2002, normy, która zrobiła światową karierę. Mówi ona o tym jak naleŜy
zaprojektować System Zarządzania Bezpieczeństwem Informacji (SZBI, ang. ISMS) i jak go
utrzymywać, aby stale odpowiadał szybkozmiennym warunkom otoczenia. W tej normie określono
wymagania dotyczące ustanawiania, wdraŜania, eksploatacji, śledzenia (monitorowania) i przeglądów
oraz utrzymywania i doskonalenia udokumentowanego SZBI. DuŜy nacisk połoŜono na spójność SZBI
z innymi funkcjonującymi w organizacji systemami zarządzania a szczególnie z systemem zarządzania
jakością i systemem zarządzania środowiskowego. Na zgodność z tą normą organizacja moŜe
certyfikować swój system zarządzania bezpieczeństwem informacji.
Normą zawierającą wymagania dotyczące systemu zarządzania bezpieczeństwem
informacji (typ B) jest Polska Norma PN-ISO/IEC 17799:2003 „Technika informatyczna.
Praktyczne zasady zarządzania bezpieczeństwem informacji”. Zamieszczono w niej
praktyczne zasady mogące być punktem wyjścia do tworzenia przez organizację własnych wytycznych
polityki bezpieczeństwa informacji spójnej z polityką bezpieczeństwa firmy i
uwzględniającej specyfikę i wielkość instytucji. Intencją twórców tej normy było dostarczenie
wspólnej, moŜliwie jednolitej podstawy do rozwijania przez organizację własnych standardów BI i
efektywnego sposobu nim zarządzania. Celem normy jest takŜe budowanie zaufania w kontaktach
pomiędzy instytucjami, które powierzają sobie swoje zasoby informacyjne lub je współdzielą.
Dokumentami normatywnymi związanymi z systemami zarządzania bezpieczeństwem
informacji (typ C) i zajmującymi się wyłącznie aspektami tego bezpieczeństwa w
systemach informatycznych (IT) są:
1. Polska Norma PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do zarządzania
bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów
informatycznych” jest normą nomenklaturową definiującą i opisującą pojęcia związane
z zarządzaniem bezpieczeństwem systemów IT, zaleŜności zachodzące pomiędzy
zarządzaniem bezpieczeństwem a zarządzaniem systemami IT w ogólności oraz prezentującą
kilka modeli, które mogą zostać uŜyte do opisu bezpieczeństwa systemów IT. Norma ta jest
odpowiednikiem raportu technicznego ISO/IEC TR 13335-1:1996.
2. Raport Techniczny ISO/IEC TR 13335-2:1997 „Technika informatyczna. Wytyczne
do zarządzania bezpieczeństwem systemów informatycznych. Część 2: Zarządzanie i
1
planowanie bezpieczeństwa systemów informatycznych” zawiera wytyczne odnoszące się do
zagadnień niezbędnych dla prawidłowego i skutecznego zarządzania wszystkimi aspektami
bezpieczeństwa systemów informatycznych, opisuje działania z tym związane jak równieŜ
prezentuje role i odpowiedzialności pracowników instytucji. Skierowany jest nie tylko do kadry
kierowniczej odpowiedzialnej za bezpieczeństwo systemów IT ale i do kierowników
odpowiedzialnych za procesy, które w znaczącym stopniu wykorzystują systemy
informatyczne.
3. Raport Techniczny ISO/IEC TR 13335-3:1998 „Technika informatyczna. Wytyczne
do zarządzania bezpieczeństwem systemów informatycznych. Część 3: Techniki
zarządzania bezpieczeństwem systemów informatycznych” zawiera opis technik
bezpieczeństwa przydatnych dla osób uczestniczących w działaniach kierowniczych podczas
trwania realizacji przedsięwzięcia, zaangaŜowanych w planowanie, projektowanie, wdraŜanie,
testowanie, nabywanie i eksploatację systemu IT. Zaprezentowane w tym dokumencie
techniki słuŜą do przeprowadzenia analizy wymagań bezpieczeństwa IT, sporządzenia planu
zapewniającego spełnienie tych wymagań, wdroŜenia zabezpieczeń wg sporządzonego planu
oraz do utrzymania i administrowania wdroŜonymi zabezpieczeniami. W tym raporcie wiele
uwagi poświęcono technikom analizy ryzyka i postępowania z ryzykiem.
Ukazały się juŜ jako międzynarodowy dokument normalizacyjny dwie kolejne części Raportu
Technicznego ISO/IEC TR 13335. Część 4 ‘Selection of safeguards’ (Wybór zabezpieczeń) z 2000 roku
opisuje wytyczne przydatne do wyboru zabezpieczeń systemów IT. Część 5 ‘Safeguards for external
connections’ (Zabezpieczenia połączeń zewnętrznych) z 2001 roku zawiera wytyczne dla instytucji
dołączających swoje wewnętrzne systemy informatyczne do sieci zewnętrznych. Obie części nie
znalazły się w planie wydawniczym PKN na bieŜący rok i najprawdopodobniej nie będą juŜ przyjęte
jako kolejne arkusze Polskiej Normy. Powodem tego jest to, Ŝe aktualnie ISO 13335 powoli znika a
właściwie przekształca się na normy serii ISO 27000. Nowa rodzina norm międzynarodowych serii ISO
27000 dotyczących systemów zarządzania bezpieczeństwem informacji składa się na razie z dwóch
norm ISO 27001 wywodzącej się z BS 7799-2:2002, której odpowiednikiem jest omawiana powyŜej
PN-I 07799-2:2005 i z normy ISO 17799:2005 (ISO 27002) zastępującej normę ISO/IEC 17799:2003.
Nowym normom zastępującym ISO 13335 nadawane będą kolejne numery z grupy ISO 27000.
Ciekawe źródła:
http://www.pkn.pl
http://www.bezpieczenstwo.naszastrona.pl
http://centrum.bezpieczenstwa.pl
http://www.aste.net.pl/szbi/
Audyt bezpieczeństwa informacji w praktyce
Informacja w świetle regulacji prawnych
Przechowywanie i przetwarzanie informacji zostało zdefiniowane w licznych aktach prawnych w Polsce i
na świecie – są one potrzebne do wdroŜenia systemu bezpieczeństwa informacji w kaŜdej instytucji.
Określają one poziomy waŜności informacji i wyróŜniają kilka typów tajemnicy:
•
Państwowa (własność Państwa),
•
SłuŜbowa (tajemnica przedsiębiorstwa bądź instytucji),
•
Danych osobowych,
•
Skarbowa, statystyczna oraz bankowa.
2
Podstawowe zasady audytu
Aby móc wdroŜyć system zarządzania bezpieczeństwem informacji, naleŜy zastosować się do
określonej normy, która jasno precyzuje zasady wdraŜania stosownych procedur. Istnieje kilka norm
naleŜących do róŜnych organizacji, którymi moŜna posłuŜyć się przy wdraŜaniu SZBI.
Norma PN-ISO/IEC 17799:2003
Jest zbiorem zaleceń i wytycznych, wspomagających proces tworzenia, wdraŜania i skutecznego
monitorowania Systemu Zarządzania Bezpieczeństwem Informacji. W kolejnych rozdziałach normy
ujęte zostały praktyczne wskazówki będące punktami wyjścia do stworzenia wytycznych
wewnętrznych:
•
Zakres normy,
•
Terminy i definicje,
•
Polityka bezpieczeństwa,
•
Organizacja bezpieczeństwa,
•
Klasyfikacja i kontrola aktywów,
•
Bezpieczeństwo osobowe,
•
Bezpieczeństwo fizyczne i środowiskowe,
•
Zarządzanie systemami i sieciami,
•
Kontrola dostępu do systemu,
•
Rozwój i utrzymanie systemu,
•
Zarządzanie ciągłością działania,
•
Zgodność.
Podstawowy dokument SZBI to polityka bezpieczeństwa informacji. Definiuje się w niej
m.in. pojęcia:
•
Bezpieczeństwa informacji,
•
Przeznaczenie wdraŜania systemu w firmie,
•
Wymagania prawne, które wynikają z zawieranych umów,
•
Opis procedury kształcenia załogi w zakresie bezpieczeństwa,
•
Konsekwencje niestosowania procedur,
•
Metodologię zarządzania ciągłością działania biznesowego w sytuacjach krytycznych.
Istotnym elementem normy jest spis procedur i zasad postępowania w przypadku wykrycia naruszenia
bezpieczeństwa informacji. Rozdział 6 normy porusza temat bezpieczeństwa związanego z osobami
3
zatrudnionymi w organizacji — stanowiącego największe zagroŜenie (statystycznie 70% przypadków
naruszenia zasad bezpieczeństwa danych wynika z zaniedbania pracownika firmy, zwykle są to
działania wynikające z braku świadomości istniejących zagroŜeń). W rozdziale 7 znalazły się zalecenia
odnośnie zabezpieczeń środowiska pracy w rozumieniu lokalizacji poszczególnych źródeł (nośników)
informacji. W kolejnych rozdziałach opisano wytyczne do stosowania zabezpieczeń w systemach
informatycznych. Przy opracowywaniu i wprowadzaniu w Ŝycie PBI naleŜy bezwzględnie przestrzegać
przepisów obowiązującego prawa, w tym:
•
Ustawy z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402 z późniejszymi
zmianami),
•
Ustawy z dnia 18 lipca 2002 r. o świadczeniu
(Dz.U.2002.144.1204 z późniejszymi zmianami),
•
Rozporządzenia Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych
wymagań bezpieczeństwa teleinformatycznego (Dz.U.05.171.1433),
•
Rozporządzenia Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych
zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z
zawieraniem i wykonywaniem umów ubezpieczenia (Dz.U.2003.193.1889),
•
Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do
przetwarzania danych osobowych (Dz.U.2004.100.1024),
•
Rozporządzenia Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu
technicznego przygotowania systemów i sieci słuŜących do przekazywania informacji do
gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów
zabezpieczania danych informatycznych (Dz.U.2004.100.1023),
•
Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U.2001.130.1450 z
późniejszymi zmianami),
•
Rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków
technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi
certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te
podmioty oraz warunków technicznych dla bezpiecznych urządzeń słuŜących do składania i
weryfikacji podpisu elektronicznego (Dz.U.2002.128.1094),
•
Dyrektywy Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie ramowych
warunków Wspólnoty dla podpisu elektronicznego (99/93/WE). NaleŜy pamiętać, Ŝe
dyrektywy nie są aktami prawnymi zobowiązującymi osoby fizyczne i prawne w państwach
członkowskich, a jedynie państwa członkowskie (nie obowiązują bezpośrednio, ale podlegają
implementacji w prawodawstwie państw członkowskich),
•
Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jednolity
Dz.U.05.196.1631),
•
Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2002.101.926 z
późniejszymi zmianami).
4
usług
drogą
elektroniczną
ODPOWIEDZIALNOŚĆ KARNA (Rozdział XXXIII Kodeksu
karnego „Przestępstwa przeciwko ochronie informacji”):
Art., 265. § 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące
tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. JeŜeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu
zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem
funkcji publicznej lub otrzymanym upowaŜnieniem, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do roku.
Art., 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub
wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą,
działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę
słuŜbową lub informację, którą uzyskał w związku z wykonywaniem czynności słuŜbowych, a której
ujawnienie moŜe narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do
lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
Art., 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej,
otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo
omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu
informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada
lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub
oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej
osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Art., 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis
istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
2.
§ 2. JeŜeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega
karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia
dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemoŜliwia automatyczne
przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do
lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art., 269. § 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym
znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji
rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo
5
zakłóca lub uniemoŜliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając
informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie słuŜące do automatycznego
przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie,
uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca
pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3
miesięcy do lat 5.
Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub
programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4,
art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a takŜe hasła
komputerowe, kody dostępu lub inne dane umoŜliwiające dostęp do informacji przechowywanych w
systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim
przedmiotów, a moŜe orzec ich przepadek, jeŜeli nie stanowiły własności sprawcy.
Art. 278. § 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia
wolności od 3 miesięcy do lat 5.
§ 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program
komputerowy w celu osiągnięcia korzyści majątkowej.
§ 3. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
§ 4. JeŜeli kradzieŜ popełniono na szkodę osoby najbliŜszej, ściganie następuje na wniosek
pokrzywdzonego.
§ 5. Przepisy § 1, 3 i 4 stosuje się odpowiednio do kradzieŜy energii lub karty uprawniającej do
podjęcia pieniędzy z automatu bankowego.
Art., 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez
upowaŜnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych
informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
§ 3. JeŜeli oszustwo popełniono na szkodę osoby najbliŜszej, ściganie następuje na wniosek
pokrzywdzonego.
Rozdział 8 ustawy o ochronie danych osobowych „Przepisy
karne”:
Art., 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne
albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
2. JeŜeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynaleŜność wyznaniową, partyjną lub
związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub Ŝyciu seksualnym, sprawca
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem
utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
6
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych
udostępnia je lub umoŜliwia dostęp do nich osobom nieupowaŜnionym, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
2. JeŜeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed
zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane
dotyczą, o jej prawach lub przekazania tej osobie informacji umoŜliwiających korzystanie z praw
przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA (Kodeks cywilny):
Art. 23. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia,
nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość
naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego
niezaleŜnie od ochrony przewidzianej w innych przepisach.
Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagroŜone cudzym działaniem, moŜe Ŝądać
zaniechania tego działania, chyba Ŝe nie jest ono bezprawne. W razie dokonanego naruszenia moŜe
on takŜe Ŝądać, aŜeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do
usunięcia jego skutków, w szczególności aŜeby złoŜyła oświadczenie odpowiedniej treści i w
odpowiedniej formie. Na zasadach przewidzianych w kodeksie moŜe on równieŜ Ŝądać
zadośćuczynienia pienięŜnego lub zapłaty odpowiedniej sumy pienięŜnej na wskazany cel społeczny.
§ 2. JeŜeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa,
poszkodowany moŜe Ŝądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyŜsze nie uchybiają uprawnieniom przewidzianym w innych przepisach, w
szczególności w prawie autorskim oraz w prawie wynalazczym.
Art,. 415. Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia.
7