Obowiązki przedsiębiorcy telekomunikacyjnego w zakresie ochrony informacji i bezpieczeństwa narodowego Andrzej Jasik PIN Consulting Sp. z o.o.
WSTĘP Prelegent Andrzej Jasik - PIN Consulting Sp. z o.o. andrzej.jasik@zgodnosc.pl www.zgodnosc.pl Czas prezentacji 10:15 - 11:15 Prośba o wypełnienie prostej ankiety Cel prezentacji Omówienie wymagań nakładanych przez polskie prawo na przedsiębiorców telekomunikacyjnych w zakresie bezpieczeństwa informacji (tajemnica telekomunikacyjna, ochrona danych osobowych, informacje niejawne, bezpieczeństwo narodowe) 2
AGENDA Retencja danych Bezpieczeństwo informacji podczas realizacji zadań na rzecz obronności kraju i porządku publicznego Tajemnica telekomunikacyjna Bezpieczeństwo danych osobowych Zapewnienie ciągłości działania w sytuacjach szczególnych zagrożeń 3
PODSTAWY PRAWNE ORAZ STOSOWANE SKRÓTY Ustawa o Ochronie Informacji Niejawnych (OIN) Dz.U.05.196.1631 Ustawa Prawo Telekomunikacyjne (PT) Dz.U.04.171.1800 Ustawa o Ochronie Danych Osobowych (UODO) Dz.U.02.101.926 Rozporządzenie Rady Ministrów z dnia 13 września 2005 r. w sprawie wypełniania przez przedsiębiorców telekomunikacyjnych zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego Rozporządzenie Ministra Infrastruktury z dnia 16 czerwca 2005 r. w sprawie planu działań przedsiębiorcy telekomunikacyjnego w sytuacjach szczególnych zagrożeń Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 4
BEZPIECZEŃSTWO INFORMACJI DOBRE PRAKTYKI I NORMY PRAWO INOVA TELECOM KLIENT 5
RETENCJA DANYCH Użytkownik INOVA TELECOM 6
O JAKIE INFORMACJE CHODZI? (ART. 159 ust. 1 pkt 3) Dane transmisyjne dotyczące abonentów i użytkowników końcowych Co to są dane transmisyjne? Dane o ruchu Dane o lokalizacji Dotyczy telefonii oraz usług IP Muszą być bezpośrednio powiązane z przekazywaniem komunikatów i naliczaniem opłat 7
PO CO RETENCJA? Dane powinny być dostępne dla uprawnionych służb w celu realizacji zadań na rzecz bezpieczeństwa, obronności, porządku publicznego oraz zwalczania przestępstw kryminalnych 8
DANE POWINNY BYĆ NALEŻYCIE CHRONIONE Obowiązuje tajemnica telekomunikacyjna (Art. 165 ust. 1 PT) oraz ochrona danych osobowych (UODO) Przechowywane przez 2 lata Dane powinny być należycie chronione 9
JAKIE BŁĘDY POPEŁNIONO? Dane były przechowywane za krótko Nie przechowywano wszystkich wymaganych danych Nie wdrożono zasad ochrony danych osobowych dla zbiorów retencyjnych 10
Uprawnione podmioty Użytkownik INOVA TELECOM RETENCJA BEZPIECZEŃSTWO NARODOWE ORAZ OCHRONA INFORMACJI NIEJAWNYCH Uprawnione podmioty Użytkownik INOVA TELECOM 11
O JAKIE INFORMACJE CHODZI? Uprawnione podmioty mogą zwrócić się do przedsiębiorcy telekomunikacyjnego o następujące informacje: ustalenie danych abonenta numeru telefonu ustalenie użytkownika adresu IP zlecić wykonanie kontroli operacyjnej treści Dane są przekazywane w celu wykonywania zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego (Art. 179 PT) 12
JAKIE TO SĄ UPRAWNIONE PODMIOTY WEDŁUG PT? Jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane Uprawnione organy i jednostki organizacyjne nadzorowane lub podległe ministrowi właściwemu do spraw wewnętrznych Podległe Ministrowi właściwemu do: spraw finansów publicznych Szefowi Agencji Bezpieczeństwa Wewnętrznego Szefowi Agencji Wywiadu Szefowi Centralnego Biura Antykorupcyjnego Jakie to są uprawnione służby? 13
DLACZEGO OCHRONA INFORMACJI NIEJAWNYCH? Otrzymanie zapytania od uprawnionej służby i przekazanie odpowiedzi może wiązać się z zachowaniem bezpieczeństwa dla informacji niejawnej - sprawa wagi służbowej (zastrzeżone i poufne) lub państwowej (tajne, ściśle tajne) Rozporządzenie Rady Ministrów z dnia 13/09/2005 - akt wykonawczy Art. 179 PT 14
Wymogiem jest posiadanie Certyfikatu Bezpieczeństwa Przemysłowego do poziomu ściśle tajne I, II lub III stopnia Pion Ochrony Pełnomocnik ds. Ochrony Informacji Niejawnych Inspektor Bezpieczeństwa Teleinformatycznego Administrator Systemu Teleinformatycznego Kierownik Kancelarii Tajnej Kancelaria Tajna Certyfikowany system informatyczny 15
JAKIE BŁĘDY POPEŁNIONO? Koperta z informacją niejawną oznaczona klauzulą 'tajne" została otwarta w sekretariacie firmy Uzyskano certyfikat bezpieczeństwa przemysłowego nie odpowiedni do wielkości przedsiębiorstwa Udzielono odpowiedzi do służby, ale nie uprawnionej (komendzie miejskiej policji) 16
OCHRONA INFORMACJI NIEJAWNYCH RETENCJA OCHRONA INFORMACJI NIEJAWNYCH TAJEMNICA TELEKOMUNIKACYJNA Użytkownik INOVA TELECOM 17
Dane dotyczące użytkowników Treść komunikatów Dane transmisyjne JAKIE INFORMACJE OBJĘTE SĄ TAJEMNICĄ TELEKOMUNIKACYJNĄ? (ART. 159 UST. 1 PT) Dane dotyczące użytkowników Treść komunikatów Dane transmisyjne Dane o próbach uzyskania połączeń Jakie informacje objęte są tajemnica telekomunikacyjną? (Art. 159 ust. 1 PT) 18
NA CZYM POLEGA TEJEMNICA TELEKOMUNIKACYJNA? (ART. 159 UST. 2 PT) Jeżeli, nie jest się, ani nadawcą, ani odbiorcą informacji to zakazane jest: zapoznawanie się utrwalanie przechowywanie przekazywanie lub inne wykorzystywanie informacji Operator tylko w celu świadczenia usługi 19
ZAKRES DANYCH, KTÓRE MOŻNA PRZETWARZAĆ (ART. 161 PT). 1) ZAKRES DANYCH, KTÓRE MOŻNA PRZETWARZAĆ (ART. 161 PT) 1) nazwiska i imiona; 2) imiona rodziców; 3) miejsce i datę urodzenia; 4) adres miejsca zameldowania na pobyt stały; 5) numer ewidencyjny PESEL; 6) nazwy, serie i numery dokumentów potwierdzających tożsamość. Zakres danych, które można przetwarzać 20
JAKIE BŁĘDY POPEŁNIONO? Niedostatecznie chroniono poufność danych objętych tajemnica telekomunikacyjną - dane zostały pozyskane przez postronne osoby Podczas zawierania umowy od użytkowników pozyskiwano zbyt dużo danych (nazwisko panieńskie matki) 21
Użytkownik INOVA TELECOM RETENCJA OCHRONA INFORMACJI NIEJAWNYCH TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH Użytkownik INOVA TELECOM 22
W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (1): Posiadać wymaganą dokumentację, na którą składa się: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym rejestr osób uprawnionych do przetwarzania danych osobowych upoważnienia osób uprawnionych do przetwarzania danych osobowych dziennik backupów 23
W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (2): Zabezpieczyć system informatycznego przetwarzający dane osobowe, w szczególności system powinien posiadać: zasilanie awaryjne indywidualne hasła użytkowników backup danych szyfrowanie połączeń firewall 24
W CELU SPEŁNIENIA WYMOGÓW UODO NALEŻY (3): Zarejestrować zbiór w GIODO Zabezpieczyć fizycznie dane przetwarzane w wersji papierowej Przeszkolić osoby biorące udział w przetwarzaniu danych osobowych 25
JAKIE BŁĘDY POPEŁNIONO? Przetwarzano dane osobowe bez rejestracji zbioru Przetwarzano dane bez prowadzenia odpowiedniej dokumentacji Nie zabezpieczono zbiorów papierowych 26
Użytkownik INOVA TELECOM OCHRONA INFORMACJI NIEJAWNYCH RETENCJA TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH PLAN DZIAŁAŃ W SYTUACJACH SZCZEGÓLNYCH ZAGROŻEŃ Użytkownik INOVA TELECOM 27
Uwzględnienie możliwości wystąpienia sytuacji szczególnych zagrożeń przy planowaniu, budowie, rozbudowie infrastruktury oraz sporządzenie planu działań (Art. 176 PT ) W sytuacjach szczególnych zagrożeń, jeżeli zwykłe środki konstytucyjne są niewystarczające, może zostać wprowadzony odpowiedni stan nadzwyczajny: stan wojenny, stan wyjątkowy lub stan klęski żywiołowej. (Art. 228 ust. 1 Konstytucji RP) 28
ZAWARTOŚĆ PLANU Analiza i oceny ryzyka, ocena wpływu szczególnych zagrożeń na własną infrastrukturę oraz zdolność do ciągłości prowadzonej działalności Analiza potrzeb i uzgodnienia m.in. z UKE, MON, MSWiA, ABW, Wojewodami Zabezpieczenia publicznych sieci telekomunikacyjnych i urządzeń telekomunikacyjnych przed zakłóceniami, skutkami katastrof i klęsk żywiołowych oraz nieuprawnionym dostępem Plan zawiera opisy wdrożonych systemów zabezpieczeń oraz procedur i środków wdrażanych w sytuacjach szczególnych zagrożeń 29
ZAWARTOŚĆ PLANU Plan może występować w wersjach: Plan lokalny Plan rejonowy Plan ogólny Wersja planu jest uzależniona od obszaru działania przedsiębiorcy telekomunikacyjnego Planu nie wykonują przedsiębiorcy działający na obszarze nie przekraczającym jednej gminy Plan ogólny wykonują przedsiębiorcy, którzy są umieszczeni w załączniku do rozporządzenia Rady Ministrów z dnia 20 sierpnia 2004 r. w sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym (Dz. U. Nr 192, poz. 1965), 30
JAKIE BŁĘDY POPEŁNIONO? Nie wykonano planu Nie przekazano planu do UKE i Ministerstwa Infrastruktury Plan był nieaktualny (należy wykonywać aktualizacje bieżące planu oraz maksymalnie raz na 3 lata aktualizację pełną) 31
PODSUMOWANIE Użytkownik INOVA TELECOM OCHRONA INFORMACJI NIEJAWNYCH RETENCJA TAJEMNICA TELEKOMUNIKACYJNA OCHRONA DANYCH OSOBOWYCH PLAN DZIAŁAŃ W SYTUACJACH SZCZEGÓLNYCH ZAGROŻEŃ Użytkownik INOVA TELECOM 32
PIN Consulting Sp. z o.o. Jesteśmy firmą specjalizującą się w zagadnieniach bezpieczeństwa w biznesie. Działamy w obszarze: Ochrony informacji niejawnych; Doradztwa dla przedsiębiorców telekomunikacyjnych; Ochrony danych osobowych; Nasz zespół. Doświadczenia. Nasze propozycje dla telekomunikacji. Copyright © PIN Consulting Sp. z o.o.
DZIĘKUJĘ ZA UWAGĘ! PYTANIA? Andrzej Jasik andrzej.jasik@zgodnosc.pl www.zgodnosc.pl 224893993 34