Prezentacja: Kluczowe aspekty funkcjonowania działów IT
Transkrypt
Prezentacja: Kluczowe aspekty funkcjonowania działów IT
Kluczowe aspekty funkcjonowania działów IT Agenda spotkania: •Obowiązki, jakie wynikają z ustawy o ochronie danych osobowych •Odpowiedzialność kierownictwa i działów IT z zakresu legalności oprogramowania •Bezpieczeństwo IT – dokumentacja i procedury- wymogi czy dobra praktyka ? •Pytania i odpowiedzi Marek Hajduk (X-COM) Absolwent Uniwersytetu Śląskiego – wydział prawa. Wspólnik w firmie X-COM z 16 letnim doświadczenie w realizacji projektów informatycznych. Specjalista ds. bezpieczeństwa teleinformatycznego. Od 10 lat czynny audytor IT. Posiada certyfikaty: Microsoft Certified Professional, Microsoft Certified Technology Specialist, ISecMan, Administrator bezpieczeństwa danych niejawnych. Konsultant z zakresu bezpieczeństwa i ochrony danych osobowych z umiejętnością implementacji aktualnych przepisów prawnych w organizacjach. Grzegorz Gawliczek (X-COM) Absolwent Politechniki Śląskiej. Wspólnik w jednej z czołowych firm audytorskich z zakresu teleinformatyki. Wieloletni audytor Legalności Oprogramowania z uprawnieniami do wykonywania audytów w ramach programu Microsoft Software Assets Management, Adobe SAM Partner Program oraz Programu Certyfikacji Oprogramowania Autodesk. Microsoft Certificated Professional, Certified Technology Specialist. Praktyka w przeprowadzaniu audytów opartych o nowe wytyczne normy ISO 19770. Doświadczenie z zakresie polityk zarządzania oprogramowaniem, poparte ilością przeprowadzonych audytów oraz licznymi szkoleniami i uczestnictwem w konferencjach. Zaufali nam m.in. : Obowiązki, jakie wynikają z ustawy o ochronie danych osobowych Dane osobowe Firma Obowiązki Dane osobowe + ochrona danych osobowych = czy mnie to dotyczy ? Co to jest zbiór danych Ochrona danych osobowych osobowych Kto musi rejestrować swoje zbiory Zwolnienia obowiązku rejestracji Jak zarejestrować zbiór danych osobowych Co to jest zbiór danych osobowych Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór rozumieniu przepisów ustawy ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych zbiorze) przesądza uporządkowanym charakterze zestawu danych tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Kto musi rejestrować swoje zbiory Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych ciąży na administratorze danych, czyli podmiocie decydującym ocelach środkach przetwarzania danych osobowych. Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa komunalna jednostka organizacyjna, także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe związku działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, drodze umowy na podstawie art. 31 ustawy ochronie danych osobowych. Zwolnienia obowiązku rejestracji 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. objętych tajemnicą państwową, osób należących do kościoła lub związku wyznaniowego, przetwarzanych związku z zatrudnieniem, dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, itp., dotyczących osób pozbawionych wolności przetwarzanych wyłącznie celu wystawienia faktury, lub prowadzenia księgowości, powszechnie dostępnych, przetwarzanych w celu przygotowania opracowania wymaganego do uzyskania dyplomu ukończenia szkoły wyższej przetwarzanych w zakresie drobnych bieżących spraw życia codziennego Jak zarejestrować zbiór danych osobowych 1. Wniosek o wpisanie 2. Oznaczenie podmiotu 3. Cel przetwarzania 4. Sposób zbierania, oraz udostępniania 5. Opracowanie i wdrożenie polityki bezpieczeństwa 6. Opis środków technicznych Jak zarejestrować zbiór danych osobowych 1. Wniosek o wpisanie 2. Oznaczenie podmiotu 3. Cel przetwarzania 4. Sposób zbierania, oraz udostępniania 5. Opracowanie i wdrożenie polityki bezpieczeństwa 6. Opis środków technicznych Od 1 stycznia 2012 r. zaczęły obowiązywać nowe przepisy prawa mające istotny wpływ na ochronę danych osobowych. Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych będą dotyczyły informacji identyfikujących przedsiębiorców w obrocie gospodarczym Szczególne przypadki A gdy się pojawią problemy Odpowiedzialność kierownictwa z zakresu legalności oprogramowania Kto może kontrolować legalność • Organy uprawnione do przeszukiwania pomieszczeń o Policja o Straż graniczna o UKS o Służba Celna • Przeszukanie jako środek dowodowy o Nakaz prokuratora (przeszukanie pomieszczenia) o Bez nakazu – w przypadkach nie cierpiących zwłoki (5 dni na dostarczenie nakazu, inaczej dowody nieważne) o Regulowane w Kodeksie Postępowania Karnego o Utrudnianie przeszukania jest przestępstwem (podawanie haseł, wykonywanie poleceń) Możliwe zagrożenia przed wdrożeniem Procedur Zarządzania Oprogramowaniem • • • • • Utrudnione zarządzanie zasobami IT w firmie Niewiedza pracowników na temat wykorzystywania oprogramowania Niewłaściwa dystrybucja wewnętrzna Niekompletna dokumentacja Brak procedur bezpieczeństwa • Ryzyko odpowiedzialności prawnej kierownictwa. Odpowiedzialność karna Kto odpowiada Informatycy Wina Zarząd Zamiar Dyrektorzy Lekkomyślność Użytkownicy Niedbalstwo Kto zazwyczaj odpowiada karnie? Członkowie kierownictwa firmy i właściciele, gdy: polecają pracownikom nielegalną instalację; wiedzą, że firma posiada nielegalne oprogramowanie i nie podejmują niezwłocznie działań naprawczych. Osoby pracujące w firmie na komputerach gdy: instalują oprogramowanie samodzielnie; zrobią dla swoich celów domowych kopię programu zainstalowanego w firmie (i odwrotnie) Informatycy i osoby odpowiedzialne za system komputerowy gdy: instalują systemy lub programy bez odpowiedniej licencji (niezależnie od tego, czy robią to z polecenia kierownictwa, czy z własnej inicjatywy). Kiedy ryzykuje użytkownik? Programy z zewnątrz Internet Dom Gazeta Dokumentacja Zgubienie / Zniszczenie Niekontrolowany przepływ Samodzielna Instalacja Nielicencjonowane kopie Nieprawidłowe wersje Niepoprawne klucze licencyjne Kiedy ryzykuje informatyk? Kiedy ryzykuje zarząd? Przestępstwo – oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 79. Ust 1. Twórca może żądać od osoby, która naruszyła jego autorskie prawa majątkowe, zaniechania naruszenia, wydania uzyskanych korzyści albo zapłacenia w podwójnej, a w przypadku gdy naruszenie jest zawinione, potrójnej wysokości stosownego wynagrodzenia z chwili jego dochodzenia; twórca może również żądać naprawienia wyrządzonej szkody, jeżeli działanie naruszającego było zawinione. Przestępstwo – oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 116. Nielegalne rozpowszechnianie oprogramowania (np: internet) 1. Kto bez uprawnienia albo wbrew jego warunkom rozpowszechnia cudzy utwór w wersji oryginalnej albo w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 2. Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 w celu osiągnięcia korzyści majątkowej, podlega karze pozbawienia wolności do lat 3 3. Jeżeli sprawca uczynił sobie z popełniania przestępstwa określonego w ust. 1 stałe źródło dochodu albo działalność przestępną, określoną w ust. 1, organizuje lub nią kieruje, podlega karze pozbawienia wolności od 6 miesięcy do lat 5 4. Jeżeli sprawca czynu określonego w ust. 1 działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Przestępstwo – oczywiście!!! Kary wg Ustawy o Prawie Autorskim Art. 118 (1). Łamanie zabezpieczeń programu (np.cracki) 1. Kto wytwarza przedmioty przeznaczone do niedozwolonego usuwania lub obchodzenia technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem lub zwielokrotnianiem utworu bądź też służące do nielegalnego odbioru nadawanych programów, przeznaczonych dla zamkniętego grona odbiorców, uzyskujących do nich dostęp po zapłaceniu wynagrodzenia usługodawcy, albo dokonuje obrotu takimi przedmiotami, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.. 2. Kto posiada, przechowuje lub wykorzystuje przedmioty, o których mowa w ust. 1, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Kary wg Kodeksu Karnego Art. 291 1. Kto rzecz uzyskaną za pomocą czynu zabronionego nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 292 1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. W wypadku znacznej wartości rzeczy, o której mowa w § 1, sprawca podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Kary wg Kodeksu Karnego c.d. Art. 293 1. Przepisy art. 291 i 292 stosuje się odpowiednio do programu komputerowego. 2. Sąd może orzec przepadek rzeczy określonej w § 1 oraz w art. 291 i 292, chociażby nie stanowiła ona własności sprawcy. Art. 278 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej. UMOWA O AUDYT OPROGRAMOWANIA Audyt krok po kroku PRZYGOTOWANIE DANYCH DO AUDYTU: •ILOŚĆ KOMPUTERÓW •ZGROMADZENIE DOKUMENTACJI LICENCYJNEJ •UPOWAŻNIENIE DLA AUDYTORA WDROŻENIE PROGRAMU NAPRAWCZEGO INWENTARYZACJA OPROGRAMOWANIA: •SKANOWANIE KOMPUTERÓW •SPIS DOKUMENTACJI LICENCYJNEJ ANALIZA DANYCH TAK RAPORT KOŃCOWY ORAZ CERTYFIKAT LEGALNOŚCI POZYTYWNY WYNIK NIE RAPORT WSTĘPNY ORAZ PROGRAM NAPRAWCZY Zalecane Procedury • • • • • • • • Metryki komputerów Sposoby instalacji Sposoby serwisu Zakupy Aneksy do umów Szkolenia Zabezpieczenia danych Regulamin Audyt wraz z Wprowadzeniem Procedur Zarządzania Oprogramowania Przeniesienie odpowiedzialności na pracowników (użytkowników komputerów) Bezpieczeństwo IT – dokumentacja i procedury- wymogi czy dobra praktyka Legalność Szkolenia pracowników i monitoring Dokumentacja techniczna i Polityka bezpieczeństwa Programy antywirusowe Kopie danych (Backup) i ich weryfikacja Ciągłość Procesów Biznesowych Gwarantowane SLA (Service Level Podatność na włamania Agreement) Zasilanie awaryjne Odpowiednia architektura sieci Wpływ czasu przestoju na koszty Z opublikowanego badania przeprowadzonego przez Mediarecovery, lidera informatyki śledczej w Polsce wynika, iż specjaliści bezpieczeństwa IT za największe zagrożenie dla firm uznają głupotę pracowników. Głupota pracowników 79% Brak wiedzy administratorów 25% Hakerstwo 9% Piractwo komputerowe 4% Bardzo często zalecenia działu IT są ignorowane, a problem zaczyna się już na szczeblu zarządu, który też nie zawsze zdaje sobie sprawę ze współczesnych zagrożeń, często nie rozumie potrzeby wprowadzania proponowanych rozwiązań. Pytania i odpowiedzi Dziękujemy za uwagę Marek Hajduk [email protected] Grzegorz Gawliczek [email protected]