Regulacje prawne

Regulacje prawne
Artur Sierszeń
[email protected]
http://bzyczek.kis.p.lodz.pl
Regulacje prawne
 Wymienione zastaną regulacje prawne związane z
bezpieczeństwem systemów teleinformatycznych
 Poza wymienionymi istnieje też szereg innych
przepisów i zarządzeń, które regulują już szczegółowo
dane zakresy tematyczne.
 Przykład:
 Rekomendacja D Generalnego Inspektoratu
Nadzoru Bankowego (która określa obowiązek
prowadzenia audytu systemów informatycznych w
sektorze bankowym)
2
Konstytucja Rzeczypospolitej Polskiej
 Konstytucja Rzeczypospolitej Polskiej, tekst
uchwalony w dniu 2 kwietnia 1997 r. przez
Zgromadzenie Narodowe, rozdział II – Wolności,
prawa i obowiązki człowieka i obywatela, Wolności i
prawa osobiste (art. 47, 49, 51).
3
Ustawa o rachunkowości.
 Ustawa z dnia 29 września 1994r. o rachunkowości, Dz.U.
nr 121, poz. 591, z późniejszymi zmianami (34 akty
zmieniające).
 Ustawa ta zawiera wymogi nałożone na osoby
prowadzące księgi rachunkowe za pomocą systemów
informatycznych.
 Usługodawca nadaje szczególne znaczenie
bezpieczeństwu danych, a także zrównuje moc dowodową
zapisu elektronicznego z zapisem tradycyjnym. Istnieją
zapisy dotyczące technologii informatycznego
przetwarzania danych, dotyczące kontroli ciągłości
zapisów, wielowymiarowości analizy i klasyfikacji zdarzeń.
 Na chwilę obecną nie ma odniesienie do standardów
międzynarodowych dotyczących audytu informatycznego.
4
Ustawa o ochronie danych osobowych (1/3)
 Ustawa z dnia 29 sierpnia 1997r. o ochronie danych
osobowych, Dz.U. nr 133, poz. 883 (zmiany: Dz.U. 1999 nr
110, poz. 1255, Dz.U. 2000 nr 12, poz. 136, Dz.U. 2000 nr
50, poz. 580, Dz.U. 2000 nr 116, poz. 1216, Dz.U. 2001 nr
42, poz. 474, Dz.U. 2001 nr 49, poz. 509, Dz.U. 2001 nr
100, poz. 1087, Dz.U. 2002 nr 74, poz. 676, Dz.U. 2002 nr
153, poz. 1271, Dz.U. 2004 nr 25, poz. 219, Dz.U. 2004 nr
33, poz. 285).
 Wprowadzone są poziomy bezpieczeństwa przetwarzania
danych osobowych w systemie informatycznym takie jak:
poziom podstawowy, podwyższony i wysoki,
zakwalifikowanie danych do któregokolwiek z nich zależy
od kategorii przetwarzanych danych i istniejących
zagrożeń.
5
Ustawa o ochronie danych osobowych (2/3)
 Administrator danych musi dostosować system
informatyczny do wytycznych, a system informatyczny
powinien spełniać określone wymogi.
 Niezbędnym działaniem jest ocena ryzyka w celu
określenia potrzeb w zakresie zabezpieczenia zbiorów
przetwarzanych danych.
 Również poważnym wymogiem jest monitorowanie
działania wdrożonych zabezpieczeń w celu ochrony danych
i ich przetwarzania.
6
Ustawa o ochronie danych osobowych (3/3)
 Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji, w sprawie określenia podstawowych
warunków technicznych i organizacji, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych
 załącznik A, VII informuje że:
 „Administrator danych monitoruje wdrożone
zabezpieczenia systemu informatycznego”
 „Administrator danych stosuje środki kryptograficznej
ochrony wobec danych wykorzystywanych do
uwierzytelniania, które są przesyłane w sieci publicznej”
7
Ustawa o ochronie informacji niejawnych (1/2)
 Ustawa z dnia 22 stycznia 1999r. o ochronie
informacji niejawnych, Dz.U. nr 11, poz. 95, (zmiany:
Dz.U. 2000 nr 12, poz. 136, Dz.U. 2000 nr 39, poz.
462, Dz.U. 2001 nr 22, poz. 247, Dz.U. 2001 nr 27,
poz. 298, Dz.U. 2001 nr 56, poz. 580, Dz.U. 2001 nr
110, poz. 1189, Dz.U. 2001 nr 123, poz. 1353, Dz.U.
2001 nr 154, poz. 1800, Dz.U. 2002 nr 74, poz. 676,
Dz.U. 2002 nr 89, poz. 804, Dz.U. 2002 nr 153, poz.
1271, Dz.U. 2003 nr 17, poz. 155, Dz.U. 2004 nr 29,
poz. 257, Dz.U. 2005 nr 85, poz. 727).
8
Ustawa o ochronie informacji niejawnych (2/2)
 Wymagane jest nie tylko prowadzenie audytu
bezpieczeństwa systemu informatycznego ale audyt
jest stałym obowiązkiem przy formułowaniu i
modyfikowaniu szczególnych wymagań
bezpieczeństwa dla systemu informatycznego
przetwarzającego informacje niejawne.
 Procedury bezpieczeństwa eksploatacji zawierają
szczegółowy wykaz czynności dla administrowania
systemem, ochrony kryptograficznej,
elektromagnetycznej i fizycznej, bezpieczeństwa
urządzeń i oprogramowania, zapewnienia ciągłości
działania systemu oraz audytu bezpieczeństwa.
9
inne
 Ustawa o świadczeniu usług drogą elektroniczną
Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą
elektroniczną, Dz.U. nr 144, poz. 1204, (zmiany: Dz.U. 2004 nr
96, poz. 959, Dz.U. 2004 nr 173, poz. 1808).
 Ustawa o podpisie elektronicznym
Ustawa z dnia 18 września 2001r. o podpisie elektronicznym,
Dz.U. nr 130, poz. 1450 (zmiany: Dz.U. 2002 nr 153, poz. 1271,
Dz.U. 2003 nr 124, poz. 1152, Dz.U. 2003 nr 217, poz. 2125,
Dz.U. 2004 nr 96, poz. 959, Dz.U. 2005 nr 64, poz. 565).
 Ustawa o zwalczaniu nieuczciwej konkurencji
Ustawa z dnia 16 kwietnia 1993r. o zwalczaniu nieuczciwej
konkurencji, Dz.U. nr 47, poz. 211, z późniejszymi zmianami
(15 aktów zmieniających).
10
inne
 Ustawa o elektronicznych instrumentach płatniczych
Ustawa z dnia 12 września 2002r. o elektronicznych
instrumentach płatniczych, Dz.U. nr 169, poz. 1385 (zmiany:
Dz.U. 2004 nr 91, poz. 870, Dz.U. 2004 nr 96, poz. 959).
 Rozporządzenie Prezesa Rady Ministrów
Rozporządzenie Prezesa Rady Ministrów w sprawie
podstawowych wymagań bezpieczeństwa teleinformatycznego,
Dz.U. 2005 nr 171, poz. 1433.
 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w
sprawie określenia podstawowych warunków technicznych i
organizacji, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych,
Dz.U. 2005, nr 100, poz. 1024.
11
Regulacje prawne
K O N I E C