Obowiązki przedsiębiorcy telekomunikacyjnego w zakresie ochrony informacji i bezpieczeństwa narodowego Andrzej Jasik PIN Consulting Sp. z o.o.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

STRUKTURA PRAWNEJ REGULACJI DOKUMENTACJI ELEKTRONICZNEJ
Narada dyrektorów szkół i placówek oświatowo-wychowawczych
Kompleksowe zarządzanie bezpieczeństwem informacji
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
Zamówienia publiczne a małe i średnie przedsiębiorstwa
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych
BEZPIECZEŃSTWO WEWNĘTRZNE W WIELKOPOLSCE
Eksploatacja zasobów informatycznych przedsiębiorstwa
Polskie przepisy dotyczące tworzenia i funkcjonowania EUWT
Aktualne zagadnienia prawne.
Krystyna BANDAU-PALKA gł. specjalista DWM – MN i Sz W
Szkolenie w zakresie ochrony danych osobowych
Edyta Malinowska - kierownik Sekcji ds. Współpracy Międzynarodowej
REJESTR DZIAŁAŃ RATOWNICZYCH
Hot Spot - korzyści 1. Zaspokojenie rosnących oczekiwań klientów 2. Przewaga nad konkurencją 3. Prestiż lokalizacji – miejsce spotkań biznesowych.
Elektroniczny Obieg Dokumentów i Elektroniczna Skrzynka Podawcza
WPROWADZENIE DO SYSTEMU TACHOGRAFÓW CYFROWYCH
Departament Prawny i Kadr Wydział Obronności i Bezpieczeństwa
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PAŃSTWOWA INSPEKCJA SANITARNA
Ustawa o swobodzie działalności gospodarczej
Ustawa z dn o ewidencji ludności i dowodach osobistych
Funkcjonowanie procedury notyfikacji w ramach dyrektywy 98/34/WE Koordynacja systemu notyfikacji na szczeblu krajowym Warsztaty legislacyjne w zakresie.
Innowacje pedagogiczne w przedszkolach
Usługi BDO - odpowiedź na realne potrzeby rynku
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Wydział Bezpieczeństwa i Zarządzania Kryzysowego Starostwa Powiatowego w Wejherowie Aspekty prawne funkcjonowania Krajowego Systemu Ratowniczo-Gaśniczego.
Ochrona danych osobowych i informacji niejawnych
Ochrona danych osobowych i informacji niejawnych
Zgłaszanie prac geodezyjnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
SIO źródło danych o kształceniu zawodowym i planowane zmiany.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
ZARZĄDZANIE KRYZYSOWE W POWIECIE
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Rodzaje dokumentów biurowych
Ul. Basztowa 22, Kraków tel , fax NIEODPŁATNA POMOC PRAWNA [ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
WSPÓŁPRACA W ZAKRESIE OCHRONY LOTNISK. NOWE DOKTRYNY BEZPIECZEŃSTWA
Bezpieczeństwo informacyjne i informatyczne państwa
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
Prawo telekomunikacyjne Ewa Galewska CBKE. Sektor telekomunikacyjny Monopole naturalne Operatorzy zasiedziali Brak równowagi pomiędzy podmiotami Wysokie.
Planistyczne działania wspierające.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
Kancelaria Tajna prowadzi następujące urządzenia ewidencyjne:
TRANSPORTOWY DOZÓR TECHNICZNY
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
MINISTERSTWO OBRONY NARODOWEJ
Dostęp do informacji niejawnych
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Zapasowe miejsca pracy – zasady wyboru i funkcjonowania.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Podstawowe działania ratownicze
Zapis prezentacji:

Obowiązki przedsiębiorcy telekomunikacyjnego w zakresie ochrony informacji i bezpieczeństwa narodowego Andrzej Jasik PIN Consulting Sp. z o.o.

WSTĘP Prelegent Andrzej Jasik - PIN Consulting Sp. z o.o. andrzej.jasik@zgodnosc.pl www.zgodnosc.pl Czas prezentacji 10:15 - 11:15 Prośba o wypełnienie prostej ankiety Cel prezentacji Omówienie wymagań nakładanych przez polskie prawo na przedsiębiorców telekomunikacyjnych w zakresie bezpieczeństwa informacji (tajemnica telekomunikacyjna, ochrona danych osobowych, informacje niejawne, bezpieczeństwo narodowe) 2

AGENDA Retencja danych Bezpieczeństwo informacji podczas realizacji zadań na rzecz obronności kraju i porządku publicznego Tajemnica telekomunikacyjna Bezpieczeństwo danych osobowych Zapewnienie ciągłości działania w sytuacjach szczególnych zagrożeń 3

PODSTAWY PRAWNE ORAZ STOSOWANE SKRÓTY Ustawa o Ochronie Informacji Niejawnych (OIN) Dz.U.05.196.1631 Ustawa Prawo Telekomunikacyjne (PT) Dz.U.04.171.1800 Ustawa o Ochronie Danych Osobowych (UODO) Dz.U.02.101.926 Rozporządzenie Rady Ministrów z dnia 13 września 2005 r. w sprawie wypełniania przez przedsiębiorców telekomunikacyjnych zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego Rozporządzenie Ministra Infrastruktury z dnia 16 czerwca 2005 r. w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 4

BEZPIECZEŃSTWO INFORMACJI DOBRE PRAKTYKI I NORMY PRAWO INOVA TELECOM KLIENT 5

RETENCJA DANYCH Użytkownik INOVA TELECOM 6

O JAKIE INFORMACJE CHODZI? (ART. 159 ust. 1 pkt 3) Dane transmisyjne dotyczące abonentów i użytkowników końcowych Co to są dane transmisyjne? Dane o ruchu Dane o lokalizacji Dotyczy telefonii oraz usług IP Muszą być bezpośrednio powiązane z przekazywaniem komunikatów i naliczaniem opłat 7

PO CO RETENCJA? Dane powinny być dostępne dla uprawnionych służb w celu realizacji zadań na rzecz bezpieczeństwa, obronności, porządku publicznego oraz zwalczania przestępstw kryminalnych 8

DANE POWINNY BYĆ NALEŻYCIE CHRONIONE Obowiązuje tajemnica telekomunikacyjna (Art. 165 ust. 1 PT) oraz ochrona danych osobowych (UODO) Przechowywane przez 2 lata Dane powinny być należycie chronione 9

JAKIE BŁĘDY POPEŁNIONO? Dane były przechowywane za krótko Nie przechowywano wszystkich wymaganych danych Nie wdrożono zasad ochrony danych osobowych dla zbiorów retencyjnych 10

Uprawnione podmioty Użytkownik INOVA TELECOM RETENCJA BEZPIECZEŃSTWO NARODOWE ORAZ OCHRONA INFORMACJI NIEJAWNYCH Uprawnione podmioty Użytkownik INOVA TELECOM 11

O JAKIE INFORMACJE CHODZI? Uprawnione podmioty mogą zwrócić się do przedsiębiorcy telekomunikacyjnego o następujące informacje: ustalenie danych abonenta numeru telefonu ustalenie użytkownika adresu IP zlecić wykonanie kontroli operacyjnej treści Dane są przekazywane w celu wykonywania zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego (Art. 179 PT) 12

JAKIE TO SĄ UPRAWNIONE PODMIOTY WEDŁUG PT? Jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane Uprawnione organy i jednostki organizacyjne nadzorowane lub podległe ministrowi właściwemu do spraw wewnętrznych Podległe Ministrowi właściwemu do: spraw finansów publicznych Szefowi Agencji Bezpieczeństwa Wewnętrznego Szefowi Agencji Wywiadu Szefowi Centralnego Biura Antykorupcyjnego Jakie to są uprawnione służby? 13

DLACZEGO OCHRONA INFORMACJI NIEJAWNYCH? Otrzymanie zapytania od uprawnionej służby i przekazanie odpowiedzi może wiązać się z zachowaniem bezpieczeństwa dla informacji niejawnej - sprawa wagi służbowej (zastrzeżone i poufne) lub państwowej (tajne, ściśle tajne) Rozporządzenie Rady Ministrów z dnia 13/09/2005 - akt wykonawczy Art. 179 PT 14

Wymogiem jest posiadanie Certyfikatu Bezpieczeństwa Przemysłowego do poziomu ściśle tajne I, II lub III stopnia Pion Ochrony Pełnomocnik ds. Ochrony Informacji Niejawnych Inspektor Bezpieczeństwa Teleinformatycznego Administrator Systemu Teleinformatycznego Kierownik Kancelarii Tajnej Kancelaria Tajna Certyfikowany system informatyczny 15

JAKIE BŁĘDY POPEŁNIONO? Koperta z informacją niejawną oznaczona klauzulą 'tajne" została otwarta w sekretariacie firmy Uzyskano certyfikat bezpieczeństwa przemysłowego nie odpowiedni do wielkości przedsiębiorstwa Udzielono odpowiedzi do służby, ale nie uprawnionej (komendzie miejskiej policji) 16

OCHRONA INFORMACJI NIEJAWNYCH RETENCJA OCHRONA INFORMACJI NIEJAWNYCH TAJEMNICA TELEKOMUNIKACYJNA Użytkownik INOVA TELECOM 17

Dane dotyczące użytkowników Treść komunikatów Dane transmisyjne JAKIE INFORMACJE OBJĘTE SĄ TAJEMNICĄ TELEKOMUNIKACYJNĄ? (ART. 159 UST. 1 PT) Dane dotyczące użytkowników Treść komunikatów Dane transmisyjne Dane o próbach uzyskania połączeń Jakie informacje objęte są tajemnica telekomunikacyjną? (Art. 159 ust. 1 PT) 18

NA CZYM POLEGA TEJEMNICA TELEKOMUNIKACYJNA? (ART. 159 UST. 2 PT) Jeżeli, nie jest się, ani nadawcą, ani odbiorcą informacji to zakazane jest: zapoznawanie się utrwalanie przechowywanie przekazywanie lub inne wykorzystywanie informacji Operator tylko w celu świadczenia usługi 19

ZAKRES DANYCH, KTÓRE MOŻNA PRZETWARZAĆ (ART. 161 PT). 1) ZAKRES DANYCH, KTÓRE MOŻNA PRZETWARZAĆ (ART. 161 PT) 1) nazwiska i imiona; 2) imiona rodziców; 3) miejsce i datę urodzenia; 4) adres miejsca zameldowania na pobyt stały; 5) numer ewidencyjny PESEL; 6) nazwy, serie i numery dokumentów potwierdzających tożsamość. Zakres danych, które można przetwarzać 20

JAKIE BŁĘDY POPEŁNIONO? Niedostatecznie chroniono poufność danych objętych tajemnica telekomunikacyjną - dane zostały pozyskane przez postronne osoby Podczas zawierania umowy od użytkowników pozyskiwano zbyt dużo danych (nazwisko panieńskie matki) 21

Użytkownik INOVA TELECOM RETENCJA OCHRONA INFORMACJI NIEJAWNYCH TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH Użytkownik INOVA TELECOM 22

W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (1): Posiadać wymaganą dokumentację, na którą składa się: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym rejestr osób uprawnionych do przetwarzania danych osobowych upoważnienia osób uprawnionych do przetwarzania danych osobowych dziennik backupów 23

W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (2): Zabezpieczyć system informatycznego przetwarzający dane osobowe, w szczególności system powinien posiadać: zasilanie awaryjne indywidualne hasła użytkowników backup danych szyfrowanie połączeń firewall 24

W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (3): Zarejestrować zbiór w GIODO Zabezpieczyć fizycznie dane przetwarzane w wersji papierowej Przeszkolić osoby biorące udział w przetwarzaniu danych osobowych 25

JAKIE BŁĘDY POPEŁNIONO? Przetwarzano dane osobowe bez rejestracji zbioru Przetwarzano dane bez prowadzenia odpowiedniej dokumentacji Nie zabezpieczono zbiorów papierowych 26

Użytkownik INOVA TELECOM OCHRONA INFORMACJI NIEJAWNYCH RETENCJA TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH PLAN DZIAŁAŃ W SYTUACJACH SZCZEGÓLNYCH ZAGROŻEŃ Użytkownik INOVA TELECOM 27

Uwzględnienie możliwości wystąpienia sytuacji szczególnych zagrożeń przy planowaniu, budowie, rozbudowie infrastruktury oraz sporządzenie planu działań (Art. 176 PT ) W sytuacjach szczególnych zagrożeń, jeżeli zwykłe środki konstytucyjne są niewystarczające, może zostać wprowadzony odpowiedni stan nadzwyczajny: stan wojenny, stan wyjątkowy lub stan klęski żywiołowej. (Art. 228 ust. 1 Konstytucji RP) 28

ZAWARTOŚĆ PLANU Analiza i oceny ryzyka, ocena wpływu szczególnych zagrożeń na własną infrastrukturę oraz zdolność do ciągłości prowadzonej działalności Analiza potrzeb i uzgodnienia m.in. z UKE, MON, MSWiA, ABW, Wojewodami Zabezpieczenia publicznych sieci telekomunikacyjnych i urządzeń telekomunikacyjnych przed zakłóceniami, skutkami katastrof i klęsk żywiołowych oraz nieuprawnionym dostępem Plan zawiera opisy wdrożonych systemów zabezpieczeń oraz procedur i środków wdrażanych w sytuacjach szczególnych zagrożeń 29

ZAWARTOŚĆ PLANU Plan może występować w wersjach: Plan lokalny Plan rejonowy Plan ogólny Wersja planu jest uzależniona od obszaru działania przedsiębiorcy telekomunikacyjnego Planu nie wykonują przedsiębiorcy działający na obszarze nie przekraczającym jednej gminy Plan ogólny wykonują przedsiębiorcy, którzy są umieszczeni w załączniku do rozporządzenia Rady Ministrów z dnia 20 sierpnia 2004 r. w sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym (Dz. U. Nr 192, poz. 1965), 30

JAKIE BŁĘDY POPEŁNIONO? Nie wykonano planu Nie przekazano planu do UKE i Ministerstwa Infrastruktury Plan był nieaktualny (należy wykonywać aktualizacje bieżące planu oraz maksymalnie raz na 3 lata aktualizację pełną) 31

PODSUMOWANIE Użytkownik INOVA TELECOM OCHRONA INFORMACJI NIEJAWNYCH RETENCJA TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH PLAN DZIAŁAŃ W SYTUACJACH SZCZEGÓLNYCH ZAGROŻEŃ Użytkownik INOVA TELECOM 32

PIN Consulting Sp. z o.o. Jesteśmy firmą specjalizującą się w zagadnieniach bezpieczeństwa w biznesie. Działamy w obszarze: Ochrony informacji niejawnych; Doradztwa dla przedsiębiorców telekomunikacyjnych; Ochrony danych osobowych; Nasz zespół. Doświadczenia. Nasze propozycje dla telekomunikacji. Copyright © PIN Consulting Sp. z o.o.

DZIĘKUJĘ ZA UWAGĘ! PYTANIA? Andrzej Jasik andrzej.jasik@zgodnosc.pl www.zgodnosc.pl 224893993 34