Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Dariusz Fabicki Fabicki.PL Warszawa, 4 marca 2013 r. Materiały źródłowe udostępnione za zgodą: dr inż. Andrzej Wójcik dr Jan Wierzbicki.

Podobne prezentacje


Prezentacja na temat: "Dariusz Fabicki Fabicki.PL Warszawa, 4 marca 2013 r. Materiały źródłowe udostępnione za zgodą: dr inż. Andrzej Wójcik dr Jan Wierzbicki."— Zapis prezentacji:

1 Dariusz Fabicki Fabicki.PL Warszawa, 4 marca 2013 r. Materiały źródłowe udostępnione za zgodą: dr inż. Andrzej Wójcik dr Jan Wierzbicki

2 Krok 1 – Wydziel 3 obszary Bezpieczeństwo FizyczneFinansowePrawne

3 Bezpieczeństwo prawne Przeczytaj przepisy

4

5 Bezpieczeństwo prawne. Pierwszy krok Obowiązkowa Klasyfikacja Informacji

6

7 Bezpieczeństwo prawne. Drugi krok Obowiązkowy wybór trybu pracy systemu teleinformatycznego

8

9 Bezpieczeństwo prawne. Trzeci krok Obowiązkowe procedury dla cyklu pracy systemu teleinformatycznego

10

11 Bezpieczeństwo prawne. Przeczytaj ustawy i rozporządzenia

12 Ustawa z dnia 7 lipca 1994 r - Prawo budowlane (Dz.U nr 89 poz. 414 z późn. zm.). Dopuszczalne poziomy hałasu według normy PN- 87-B dla pomieszczenia do pracy umysłowej wymagającej silnej koncentracji i uwagi. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.). Kluczowe ustawy

13 Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U ). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U nr 0 poz. 526). Kluczowe ustawy

14 Ustawa z dnia 5 sierpnia 2010 r. O ochronie informacji niejawnych (Dz.U nr 182 poz. 1228). Rozporządzenie Prezesa Rady Ministrów z dnia 29 maja 2012r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U ). Kluczowe ustawy

15 Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010r. w sprawie Narodowego Programu Ochrony Infrastruktury Krytycznej (Dz.U ), Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010r. w sprawie planów ochrony infrastruktury krytycznej (Dz.U ); Kluczowe ustawy

16 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia roku w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U ) Rozporządzenie Prezesa Rady Ministrów z dnia roku w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego (Dz.U ) Kluczowe ustawy

17 Ustawa z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (Dz.U.2011 nr 222 poz. 1323) Kluczowe ustawy

18 Rozporządzenie Prezesa Rady Ministrów z 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych, oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz. U. Nr 206, poz. 1216) Kluczowe ustawy

19 Rządowy Program Ochrony Cyberprzestrzeni RP na lata (http://bip.msw.gov.pl/portal/bip/6/19057)http://bip.msw.gov.pl/portal/bip/6/19057 Kluczowe ustawy

20 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U ) Kluczowe ustawy

21 Ustawa z dnia 27 lipca 2001 roku o ochronie baz danych (Dz.U ) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. Nr 133 poz. 883 z późn. zmianami), Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U z późn. zmianami) Kluczowe ustawy

22 Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 26 lipca 2005 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie osób i mienia (Dz.U nr 145 poz. 1221). Ustawa z dnia 23 maja 2002 r. o zmianie ustawy o ochronie osób i mienia (Dz.U nr 71 poz. 656). Ustawa o ochronie osób i mienia z dnia 26 września 1997 r. w zakresie korzystania z usług koncesjonowanych podmiotów realizujących usługi ochrony mienia i osób (Dz.U ). Kluczowe ustawy

23 Ustawa z dnia 23 maja 2002 r. o zmianie ustawy o ochronie osób i mienia (Dz.U nr 71 poz. 656). Ustawa o ochronie osób i mienia z dnia 26 września 1997 r. w zakresie korzystania z usług koncesjonowanych podmiotów realizujących usługi ochrony mienia i osób (Dz.U ). Kluczowe ustawy

24 Ustawa z dnia 26 kwietnia 2007r. o zarządzaniu kryzysowym (Dz.U z późn. zm.); Ustawa z dnia 29 października 2010 o zmianie ustawy o zarządzaniu kryzysowym (Dz.U ) Kluczowe ustawy

25 Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz.U nr 95 poz. 425, tekst jednolity Dz.U z 2004 roku nr 256, poz.2572 z późniejszymi zmianami). Kluczowe ustawy

26 Rozporządzenie Ministra Edukacji Narodowej z dnia 8 marca 2012 r. w sprawie minimalnych wymagań technicznych dla sprzętu przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz danych SIO, udostępnianego przez ministra właściwego do spraw oświaty i wychowania, warunków technicznych, jakie powinno spełniać inne niż udostępniane przez ministra właściwego do spraw oświaty i wychowania oprogramowanie służące prowadzeniu lokalnych baz danych SIO, wydawania certyfikatu zgodności z SIO, a także warunków technicznych przekazywania i pozyskiwania danych z bazy danych SIO (Dz.U nr 0 poz. 321) Kluczowe ustawy

27 Rozporządzenie Ministra Edukacji Narodowej z dnia 24 kwietnia 2012 r. w sprawie procedury weryfikacji dostępu do bazy danych systemu informacji oświatowej (Dz.U nr 0 poz. 466) Kluczowe ustawy

28 Bezpieczeństwo prawne. Pierwszy krok Obowiązkowa Klasyfikacja Informacji

29 klasyfikację informacji w organizacji administracji państwowej należy przeprowadzić zgodnie z obowiązującymi wymaganiami prawnymi Wytyczne w tym zakresie zawarte są w Ustawie o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r. (Dz.U ) Obowiązkowa klasyfikacja informacji

30 Informacje niejawne zgodnie z cytowaną ustawą dzielimy na: Ściśle tajne Tajne Poufne Zastrzeżone Obowiązkowa klasyfikacja informacji

31 Art Informacjom niejawnym nadaje się klauzulę ściśle tajne, jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej; 2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej; Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych

32 zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej; 4) osłabi gotowość obronną Rzeczypospolitej Polskiej; 5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno- rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie;

33 zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; 7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997r. – Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555, z późn. zm. 5) ), lub osób dla nich najbliższych.

34 Informacjom niejawnym nadaje się klauzulę tajne, jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej; 2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; 3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych

35 utrudni wykonywanie czynności operacyjno- rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione; 5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; 6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej.

36 Informacjom niejawnym nadaje się klauzulę poufne, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej; 2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej; Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych

37 zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbo m lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej; 5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;

38 zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej; 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.

39 Informacjom niejawnym nadaje się klauzulęzastrzeżone, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej. Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych

40 Bezpieczeństwo prawne. Drugi krok Obowiązkowy wybór trybu pracy systemu teleinformatycznego

41 Podstawy założeń bezpieczeństwa teleinformatycznego dla nowo budowanych lub modernizowanych systemów informatycznych Wytyczne w tym zakresie zawarte są w w Rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U ) Obowiązkowy wybór tryby pracy systemu teleinformatycznego

42 § 3 rozporządzenia. Ze względu na posiadane przez użytkowników systemu teleinformatycznego uprawnienia dostępu do informacji niejawnych system teleinformatyczny przeznaczony do przetwarzania informacji niejawnych może funkcjonować w jednym z następujących trybów bezpieczeństwa pracy: Obowiązkowy wybór tryby pracy systemu teleinformatycznego

43 dedykowanym w którym spełnione są łącznie następujące warunki: a) wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym; Obowiązkowy wybór tryby pracy systemu teleinformatycznego

44 systemowym w którym spełnione są łącznie następujące warunki: a) wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym; Obowiązkowy wybór tryby pracy systemu teleinformatycznego

45 wielopoziomowym w którym spełnione są łącznie następujące warunki: a) nie wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym. Obowiązkowy wybór tryby pracy systemu teleinformatycznego

46 Bezpieczeństwo prawne. Trzeci krok Obowiązkowe procedury dla cyklu pracy systemu teleinformatycznego

47 Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym powinien przebiegać zgodnie z zapisami § 18 rozporządzenia. Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym

48 Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów: 1) planowania; 2) projektowania; 3) wdrażania; 4) eksploatacji; 5) wycofywania. Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym

49 1) przeznaczenie systemu teleinformatycznego; 2) maksymalną klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym; 3) tryb bezpieczeństwa pracy systemu teleinformatycznego; 4) szacunkową liczbę użytkowników; 5) planowaną lokalizację. Na etapie planowania ustala się potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczególności określa się

50 1) przeprowadza się wstępne szacowanie ryzyka dla bezpieczeństwa informacji niejawnych w celu określenia wymagań dla zabezpieczeń; 2) dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych; 3) uzgadnia się z podmiotem akredytującym plan akredytacji obejmujący zakres i harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego; 4) uzgadnia się z podmiotem zaopatrującym w klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń lub narzędzi kryptograficznych, a także sposób ich wykorzystania; 5) opracowuje się dokument szczególnych wymagań bezpieczeństwa Na etapie projektowania:

51 1) pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia w systemie teleinformatycznym; 2) przeprowadza się testy bezpieczeństwa systemu teleinformatycznego; 3) przeprowadza się szacowanie ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń; 4) opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnia dokument szczególnych wymagań bezpieczeństwa; 5) system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego Na etapie wdrażania:

52 1) utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa; 2) zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinformatycznym; 3) okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawidłowości; Na etapie eksploatacji:

53 4) w zależności od potrzeb wprowadza się zmiany do systemu teleinformatycznego oraz, jeżeli jest to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego, przy czym modyfikacje mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyżej wymienionych modyfikacji, uaktualnionej dokumentacji bezpieczeństwa systemu teleinformatycznego, w szczególności w formie aneksów. Na etapie eksploatacji:

54 1) zaprzestaje się eksploatacji systemu teleinformatycznego; 2) powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji; 3) zwraca się do ABW albo SKW świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego, jeżeli system teleinformatyczny przeznaczony był do przetwarzania informacji niejawnych o klauzuli poufne" lub wyższej; 4) usuwa się informacje niejawne z systemu teleinformatycznego, w szczególności przez przeniesienie ich do innego systemu teleinformatycznego, zarchiwizowanie lub zniszczenie informatycznych nośników danych. Na etapie wycofywania:

55 Bezpieczeństwo Finansowe

56 Zaplanuj w budżecie środki na zapewnienie bezpiecznego funkcjonowania systemu teleinformatycznego

57 Bezpieczeństwo Finansowe Unikaj podwójnego finansowania (nie kupuj tego co już masz po raz drugi)

58

59

60

61 Bezpieczeństwo Finansowe Zaplanuj w budżecie środki na zapewnienie bezpiecznego funkcjonowania systemu teleinformatycznego w perspektywie: krótko średnio długoterminowej

62 Licencjonowanie – Czy każde zakupione oprogramowanie systemowe wymaga regularnych opłat subskrypcyjnych? – Czy każde zakupione oprogramowanie systemowe wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu? Przykład (oprogramowanie systemowe)

63 Licencjonowanie – Czy każde zakupione oprogramowanie użytkowe wymaga regularnych opłat subskrypcyjnych? – Czy każde zakupione oprogramowanie użytkowe wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu? Przykład (oprogramowanie użytkowe)

64 Licencjonowanie – Czy każde zakupione oprogramowanie antywirusowe wymaga regularnych opłat subskrypcyjnych? – Czy każde zakupione oprogramowanie oprogramowanie wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu? Przykład (oprogramowanie antywirusowe)

65 Awarie i inne incydenty są nieuniknione – Zaplanuj wysokość obowiązkowej rezerwy związanej z utrzymaniem bezpieczeństwa pracy systemu teleinformatycznego Przykład (awarie i amortyzacja sprzętu)

66 Subskrypcja System sprzedaży, zazwyczaj połączony z pewnymi przywilejami dla subskrybentów, które zobowiązały się podpisem do ich wykupu i dokonały przedpłaty

67 Dzierżawa Polega na udostępnieniu innej osobie prawa lub rzeczy, natomiast (w odróżnieniu np. od pożyczki) nie przenosi własności. Przedmiotem dzierżawy może być tylko rzecz lub prawo przynoszące pożytki (Reguluje ją Kodeks cywilny w art )

68 Bezpieczeństwo fizyczne

69 Kradzież sprzętu i oprogramowania Utraciliśmy wszystkie pliki, przy których tak długo pracowaliśmy Musimy natychmiast bezpiecznie przesłać poufny plik do kierownika Chyba mamy zawirusowany komputer, to koniec nie można usunąć wirusa Laptop za wolno pracuje, denerwuje mnie to … Musiałem wyjść na chwilę i zastawiłem włączony laptop w biurze …. a ten kolega … hym …. To może nas spotkać i kiedyś pewnie spotka:

70 Informacja jest cennym i pożądanym dobrem, a jej wartość jest uzależniona od tego, kto, kiedy i w jakim celu jej potrzebuje. Bezpieczeństwo fizyczne i infrastruktury

71 Wymagania prawne nakładające na Kierownictwo Organizacji obowiązek podjęcia szeregu działań o charakterze organizacyjno – technicznym w zakresie ochrony informacji (ustawa o ochronie danych osobowych oraz ustawa o ochronie informacji niejawnych, a także wymagania związane z tajemnicami zawodowymi tajemnice prawnie chronione – bankowa, lekarska, wynalazcza itd..); Wymagania związane z ochroną informacji wrażliwej dla organizacji (Ustawa z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji Dz.U. nr 47, poz. 211 z 1993 z póź. zm.); Bezpieczeństwo fizyczne i infrastruktury

72 Ustawa o ABW i AW, CBA

73

74

75 Kodeks Pracy Art. 100 §2, ust. 4. Pracownik jest zobowiązany w szczególności dbać o dobro zakładu pracy, chronić jego mienie oraz zachowywać w tajemnicy informację, których ujawnienie mogłoby narazić pracodawcę na szkodę.

76 Ustawa o zwalczaniu nieuczciwej konkurencji Art. 11. §1 Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy §2 Przepis ust. 1 stosuje się również do osoby, która świadczyła pracę na podstawie stosunku pracy lub innego stosunku prawnego - przez okres trzech lat od jego ustania, chyba że umowa stanowi inaczej albo ustał stan tajemnicy. §4. Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.

77 Ustawa o zwalczaniu nieuczciwej konkurencji. Art.18 W razie dokonania czynu nieuczciwej konkurencji przedsiębiorca, którego interes został naruszony lub zagrożony może żądać: - zaniechania niedozwolonych działań; - usunięcia skutków niedozwolonych działań; - złożenia oświadczenia o odpowiedniej treści; - naprawienia wyrządzonej szkody; - wydanie bezpodstawnie uzyskanych korzyści.

78 Przepisy Kodeksu Karnego Art § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

79 Przepisy Kodeksu Karnego Art § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3. § 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

80 Przepisy Kodeksu Karnego Art § 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji.

81 Przepisy Kodeksu Karnego Art § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3. § 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.

82 Ustawa o zwalczaniu nieuczciwej konkurencji. Art. 23 Kto wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informacje stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

83 Inne wybrane regulacje prawne Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010r. Tajemnica Zawodowa Art. 171 §5 Prawa Bankowego. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, nie zgodnie z upoważnieniem określonym w ustawie podlega grzywnie do 1 miliona złotych i karze pozbawienia wolności do lat 3. Art. 306 §1. Ordynacji podatkowej Kto, będąc obowiązany do zachowania tajemnicy skarbowej, ujawnia informacje objęte tajemnicą, podlega karze pozbawienia wolności do lat 5.

84 PN-ISO/IEC 27001:2007 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania (przeznaczona do certyfikowania systemów zarządzania bezpieczeństwem informacji)

85 A Umowy o zachowaniu poufności. Zabezpieczenie Wymagania dla umów o zachowaniu poufności i nieujawnianiu informacji odzwierciedlające potrzeby organizacji w zakresie ochrony informacji powinny być określone i regularnie przeglądane. A Bezpieczeństwo sprzętu poza siedzibą. Zabezpieczenie Sprzęt pozostający poza siedzibą powinien być chroniony przy uwzględnieniu ryzyk związanych z pracą poza siedzibą organizacji. A Wiadomości elektroniczne. Zabezpieczenie Informacje zawarte w wiadomościach elektronicznych powinny być odpowiednio zabezpieczone. A Zabezpieczenia przed kodem złośliwym. Zabezpieczenie Zabezpieczenia zapobiegające, wykrywające i usuwające kod złośliwy oraz właściwe procedury uświadamiania użytkowników powinny być wdrożone. A Zapasowe kopie informacji. Zabezpieczenie Kopie zapasowe informacji i oprogramowania powinny być regularnie tworzone i testowane zgodnie z ustaloną polityką wykonywania kopii zapasowych. A Zarządzanie hasłami użytkowników. Zabezpieczenie Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania. A Używanie haseł. Zabezpieczenie Podczas wyboru i używania haseł użytkownicy powinni postępować zgodnie ze sprawdzonymi praktykami bezpieczeństwa. A Pozostawienie sprzętu użytkownika bez opieki. Zabezpieczenie Użytkownicy powinni zapewnić odpowiednią ochronę sprzętu pozostawionego bez opieki.

86 Bezpieczeństwo fizyczne Obowiązki

87 W urządzeniach pracodawcy i pracowników, na których przechowywane są informacje o statusie zgodnym z przyjętą polityką bezpieczeństwa (polityka jest obowiązkowa) Obowiązkowe szyfrowanie danych

88 Uwaga System szyfrowania plików nie jest w pełni obsługiwany w systemach Windows 7 Starter, Windows 7 Home Basic i Windows 7 Home Premium, Vista Home Premium i Home Basic, Windows XP Home. Dostępne tylko w wersjach Windows Professional i Ultimate

89 TrueCrypt Szyfrowanie danych. Program może zaszyfrować zawartość całego dysku, wybranej partycji lub dysków przenośnych. Szyfrowanie odbywa się za pomocą algorytmów AES-256, Blowfish, CAST5, Serpent, Triple DES i Twofish.

90 Dla domu ale nie dla szkoły Program Microsoft Security Essentials jest dostępny dla wszystkich użytkowników korzystających z oryginalnego systemu operacyjnego Windows i oferuje funkcje zabezpieczeń przed złośliwymi zagrożeniami, takimi jak wirusy, konie trojański, oprogramowanie szpiegowskie i inne. pl/security_essentials/ProductInformation.aspx

91 1.Stosuj silne hasła, trudne do odgadnięcia i złamania przez programy do łamania haseł. 2.Włącz automatyczne aktualizacje systemu. 3.Włącz zaporę ogniową (firewall) wbudowaną w system. 4.Zainstaluj program antywirusowy. 5.Regularnie skanuj cały komputer programem antywirusowym. 6.Łącz się z internetem wykorzystując zaporę firewall programową lub sprzętową (np. router z funkcją firewall). 7.Konto o uprawnieniach administratora używaj tylko do zadań wymagających pełnych uprawnień. 8.Systematycznie wykonuj kopie zapasowe najważniejszych plików i partycji dysku systemu. 9.Wyłącz niepotrzebne usługi. Powtarzamy do znudzenia

92 RedaktorzyWydawcy Czytaj Sprawdź Informacja Wydarzenie Wiadomość Zatwierdź Autorzy Procedury umieszczania informacji na szkolnej stronie internetowej, Proces TreśćKorekta Odpowiedzialność

93 Elektroniczny nadzór i śledzenie procesu decyzji w szkole

94 © Pracuję nad tym Nowy zadanie do wykonania Zakończyłem Mam pytanie Akceptacja Zlecającego zadanie Wyjaśnienie Do korekty Zlecający zadanie Pracownik Zlecający zadanie Pracownik Ekspert Zlecający zadanie Akceptacja Kierownik

95 Pracownik jednym kliknięciem uaktualnia Status zagadnienia (zadania), wpisując ewentualne pytania do zlecającego zadanie

96 Pracownik po wejściu do zadania może przeczytać odpowiedź. Widoczna jest cała historia korespondencji. Powiadomienia o otrzymaniu wiadomości od zlecającego zadanie do wykonania są również wysyłane na skrzynkę

97 Ile czasu trzymać logi? Co kiedy nie mam logów? Twoja infrastruktura Twoim Alibi

98 Gdzie jest wersja z wczoraj? Gdzie jest wersja z przedwczoraj? Gdzie jest wersja z przed tygodnia? Gdzie jest wersja z przed miesiąca? Gdzie jest wersja z przed pół roku Który dokument jest dobry? Kto poprawił dokument?

99

100

101 Dziękuję za uwagę Warszawa, 4 marca 2013 r.


Pobierz ppt "Dariusz Fabicki Fabicki.PL Warszawa, 4 marca 2013 r. Materiały źródłowe udostępnione za zgodą: dr inż. Andrzej Wójcik dr Jan Wierzbicki."

Podobne prezentacje


Reklamy Google