Dariusz Fabicki Fabicki.PL 10 małych kroków w dziedzinie bezpieczeństwa i ochrony danych na terenie szkoły Dariusz Fabicki Fabicki.PL Materiały źródłowe udostępnione za zgodą: dr inż. Andrzej Wójcik dr Jan Wierzbicki Warszawa, 4 marca 2013 r.
Krok 1 – Wydziel 3 obszary Bezpieczeństwo Fizyczne Finansowe Prawne http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne Przeczytaj przepisy
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne. Pierwszy krok Obowiązkowa Klasyfikacja Informacji
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne. Drugi krok Obowiązkowy wybór trybu pracy systemu teleinformatycznego
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne. Trzeci krok Obowiązkowe procedury dla cyklu pracy systemu teleinformatycznego
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Bezpieczeństwo prawne. Przeczytaj ustawy i rozporządzenia
Kluczowe ustawy Ustawa z dnia 7 lipca 1994 r - Prawo budowlane (Dz.U. 1994 nr 89 poz. 414 z późn. zm.). Dopuszczalne poziomy hałasu według normy PN-87-B-02151-02 dla pomieszczenia do pracy umysłowej wymagającej silnej koncentracji i uwagi. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.).
Kluczowe ustawy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.2011.159.948). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 nr 0 poz. 526).
Kluczowe ustawy Ustawa z dnia 5 sierpnia 2010 r. O ochronie informacji niejawnych (Dz.U. 2010 nr 182 poz. 1228). Rozporządzenie Prezesa Rady Ministrów z dnia 29 maja 2012r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U.2012.683).
Kluczowe ustawy Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010r. w sprawie Narodowego Programu Ochrony Infrastruktury Krytycznej (Dz.U.2010.83.541), Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010r. w sprawie planów ochrony infrastruktury krytycznej (Dz.U.2010.83.542);
Kluczowe ustawy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 21.04.2011 roku w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz.U.2011.93.545) Rozporządzenie Prezesa Rady Ministrów z dnia 20.07.2011 roku w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego (Dz.U.2011.156.926)
Kluczowe ustawy Ustawa z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (Dz.U.2011 nr 222 poz. 1323)
Kluczowe ustawy Rozporządzenie Prezesa Rady Ministrów z 14 września 2011 r. w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych, oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz. U. Nr 206, poz. 1216)
Kluczowe ustawy Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016 (http://bip.msw.gov.pl/portal/bip/6/19057)
Kluczowe ustawy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024)
Kluczowe ustawy Ustawa z dnia 27 lipca 2001 roku o ochronie baz danych (Dz.U.2001.128.1402) Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. Nr 133 poz. 883 z późn. zmianami), Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U.2005.145.1221 z późn. zmianami)
Kluczowe ustawy Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 26 lipca 2005 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie osób i mienia (Dz.U. 2005 nr 145 poz. 1221). Ustawa z dnia 23 maja 2002 r. o zmianie ustawy o ochronie osób i mienia (Dz.U. 2002 nr 71 poz. 656). Ustawa o ochronie osób i mienia z dnia 26 września 1997 r. w zakresie korzystania z usług koncesjonowanych podmiotów realizujących usługi ochrony mienia i osób (Dz.U.97.114.740).
Kluczowe ustawy Ustawa z dnia 23 maja 2002 r. o zmianie ustawy o ochronie osób i mienia (Dz.U. 2002 nr 71 poz. 656). Ustawa o ochronie osób i mienia z dnia 26 września 1997 r. w zakresie korzystania z usług koncesjonowanych podmiotów realizujących usługi ochrony mienia i osób (Dz.U.97.114.740).
Kluczowe ustawy Ustawa z dnia 26 kwietnia 2007r. o zarządzaniu kryzysowym (Dz.U.2007.89.590 z późn. zm.); Ustawa z dnia 29 października 2010 o zmianie ustawy o zarządzaniu kryzysowym (Dz.U.2010.24.1600)
Kluczowe ustawy Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz.U. 1991 nr 95 poz. 425, tekst jednolity Dz.U z 2004 roku nr 256, poz.2572 z późniejszymi zmianami).
Kluczowe ustawy Rozporządzenie Ministra Edukacji Narodowej z dnia 8 marca 2012 r. w sprawie minimalnych wymagań technicznych dla sprzętu przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz danych SIO, udostępnianego przez ministra właściwego do spraw oświaty i wychowania, warunków technicznych, jakie powinno spełniać inne niż udostępniane przez ministra właściwego do spraw oświaty i wychowania oprogramowanie służące prowadzeniu lokalnych baz danych SIO, wydawania certyfikatu zgodności z SIO, a także warunków technicznych przekazywania i pozyskiwania danych z bazy danych SIO (Dz.U. 2012 nr 0 poz. 321)
Kluczowe ustawy Rozporządzenie Ministra Edukacji Narodowej z dnia 24 kwietnia 2012 r. w sprawie procedury weryfikacji dostępu do bazy danych systemu informacji oświatowej (Dz.U. 2012 nr 0 poz. 466)
Bezpieczeństwo prawne. Pierwszy krok Obowiązkowa Klasyfikacja Informacji
Obowiązkowa klasyfikacja informacji klasyfikację informacji w organizacji administracji państwowej należy przeprowadzić zgodnie z obowiązującymi wymaganiami prawnymi Wytyczne w tym zakresie zawarte są w Ustawie o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r. (Dz.U.2010.182.1228)
Obowiązkowa klasyfikacja informacji Informacje niejawne zgodnie z cytowaną ustawą dzielimy na: Ściśle tajne Tajne Poufne Zastrzeżone
Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych Art. 5. 1. Informacjom niejawnym nadaje się klauzulę „ściśle tajne”, jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej; 2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej;
zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej; 4) osłabi gotowość obronną Rzeczypospolitej Polskiej; 5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie;
zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; 7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997r. – Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555, z późn. zm.5)), lub osób dla nich najbliższych.
Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę „tajne”, jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej; 2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; 3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych
utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione; 5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; 6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej.
Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę „poufne”, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że: 1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej; 2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej;
zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbo m lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej; 5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;
zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej; 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.
Rozdział 2 ustawy o ochronie informacji niejawnych Klasyfikowanie informacji niejawnych Informacjom niejawnym nadaje się klauzulę „zastrzeżone”, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.
Bezpieczeństwo prawne. Drugi krok Obowiązkowy wybór trybu pracy systemu teleinformatycznego
Obowiązkowy wybór tryby pracy systemu teleinformatycznego Podstawy założeń bezpieczeństwa teleinformatycznego dla nowo budowanych lub modernizowanych systemów informatycznych Wytyczne w tym zakresie zawarte są w w Rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.2011.159.948)
Obowiązkowy wybór tryby pracy systemu teleinformatycznego § 3 rozporządzenia. Ze względu na posiadane przez użytkowników systemu teleinformatycznego uprawnienia dostępu do informacji niejawnych system teleinformatyczny przeznaczony do przetwarzania informacji niejawnych może funkcjonować w jednym z następujących trybów bezpieczeństwa pracy:
Obowiązkowy wybór tryby pracy systemu teleinformatycznego dedykowanym — w którym spełnione są łącznie następujące warunki: a) wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym;
Obowiązkowy wybór tryby pracy systemu teleinformatycznego systemowym — w którym spełnione są łącznie następujące warunki: a) wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym;
Obowiązkowy wybór tryby pracy systemu teleinformatycznego wielopoziomowym — w którym spełnione są łącznie następujące warunki: a) nie wszyscy użytkownicy posiadają uprawnienie do dostępu do informacji niejawnych o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym.
Bezpieczeństwo prawne. Trzeci krok Obowiązkowe procedury dla cyklu pracy systemu teleinformatycznego
Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym powinien przebiegać zgodnie z zapisami § 18 rozporządzenia.
Cykl przetwarzania informacji niejawnych w systemie teleinformatycznym Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów: 1) planowania; 2) projektowania; 3) wdrażania; 4) eksploatacji; 5) wycofywania.
1) przeznaczenie systemu teleinformatycznego; Na etapie planowania ustala się potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczególności określa się 1) przeznaczenie systemu teleinformatycznego; 2) maksymalną klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym; 3) tryb bezpieczeństwa pracy systemu teleinformatycznego; 4) szacunkową liczbę użytkowników; 5) planowaną lokalizację.
Na etapie projektowania: 1) przeprowadza się wstępne szacowanie ryzyka dla bezpieczeństwa informacji niejawnych w celu określenia wymagań dla zabezpieczeń; 2) dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych; 3) uzgadnia się z podmiotem akredytującym plan akredytacji obejmujący zakres i harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego; 4) uzgadnia się z podmiotem zaopatrującym w klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń lub narzędzi kryptograficznych, a także sposób ich wykorzystania; 5) opracowuje się dokument szczególnych wymagań bezpieczeństwa
Na etapie wdrażania: 1) pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia w systemie teleinformatycznym; 2) przeprowadza się testy bezpieczeństwa systemu teleinformatycznego; 3) przeprowadza się szacowanie ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń; 4) opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnia dokument szczególnych wymagań bezpieczeństwa; 5) system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego
Na etapie eksploatacji: 1) utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa; 2) zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinformatycznym; 3) okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawidłowości;
Na etapie eksploatacji: 4) w zależności od potrzeb wprowadza się zmiany do systemu teleinformatycznego oraz, jeżeli jest to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego, przy czym modyfikacje mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy — przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyżej wymienionych modyfikacji, uaktualnionej dokumentacji bezpieczeństwa systemu teleinformatycznego, w szczególności w formie aneksów.
Na etapie wycofywania: 1) zaprzestaje się eksploatacji systemu teleinformatycznego; 2) powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji; 3) zwraca się do ABW albo SKW świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego, jeżeli system teleinformatyczny przeznaczony był do przetwarzania informacji niejawnych o klauzuli „poufne" lub wyższej; 4) usuwa się informacje niejawne z systemu teleinformatycznego, w szczególności przez przeniesienie ich do innego systemu teleinformatycznego, zarchiwizowanie lub zniszczenie informatycznych nośników danych.
Bezpieczeństwo Finansowe
Bezpieczeństwo Finansowe Zaplanuj w budżecie środki na zapewnienie bezpiecznego funkcjonowania systemu teleinformatycznego
Bezpieczeństwo Finansowe Unikaj podwójnego finansowania (nie kupuj tego co już masz po raz drugi)
Bezpieczeństwo Finansowe Zaplanuj w budżecie środki na zapewnienie bezpiecznego funkcjonowania systemu teleinformatycznego w perspektywie: krótko średnio długoterminowej
Przykład (oprogramowanie systemowe) Licencjonowanie Czy każde zakupione oprogramowanie systemowe wymaga regularnych opłat subskrypcyjnych? Czy każde zakupione oprogramowanie systemowe wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu?
Przykład (oprogramowanie użytkowe) Licencjonowanie Czy każde zakupione oprogramowanie użytkowe wymaga regularnych opłat subskrypcyjnych? Czy każde zakupione oprogramowanie użytkowe wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu?
Przykład (oprogramowanie antywirusowe) Licencjonowanie Czy każde zakupione oprogramowanie antywirusowe wymaga regularnych opłat subskrypcyjnych? Czy każde zakupione oprogramowanie oprogramowanie wymaga dodatkowych opłat w wypadku ponownej instalacji po awarii/kradzieży sprzętu?
Przykład (awarie i amortyzacja sprzętu) Awarie i inne incydenty są nieuniknione Zaplanuj wysokość obowiązkowej rezerwy związanej z utrzymaniem bezpieczeństwa pracy systemu teleinformatycznego
Subskrypcja System sprzedaży, zazwyczaj połączony z pewnymi przywilejami dla subskrybentów, które zobowiązały się podpisem do ich wykupu i dokonały przedpłaty
Dzierżawa Polega na udostępnieniu innej osobie prawa lub rzeczy, natomiast (w odróżnieniu np. od pożyczki) nie przenosi własności. Przedmiotem dzierżawy może być tylko rzecz lub prawo przynoszące pożytki (Reguluje ją Kodeks cywilny w art. 693-709)
Bezpieczeństwo fizyczne
To może nas spotkać i kiedyś pewnie spotka: Kradzież sprzętu i oprogramowania Utraciliśmy wszystkie pliki, przy których tak długo pracowaliśmy Musimy natychmiast bezpiecznie przesłać poufny plik do kierownika Chyba mamy zawirusowany komputer, to koniec nie można usunąć wirusa Laptop za wolno pracuje, denerwuje mnie to … Musiałem wyjść na chwilę i zastawiłem włączony laptop w biurze …. a ten kolega … hym ….
Bezpieczeństwo fizyczne i infrastruktury Informacja jest cennym i pożądanym dobrem, a jej wartość jest uzależniona od tego, kto, kiedy i w jakim celu jej potrzebuje.
Bezpieczeństwo fizyczne i infrastruktury Wymagania prawne nakładające na Kierownictwo Organizacji obowiązek podjęcia szeregu działań o charakterze organizacyjno – technicznym w zakresie ochrony informacji (ustawa o ochronie danych osobowych oraz ustawa o ochronie informacji niejawnych, a także wymagania związane z tajemnicami zawodowymi „tajemnice prawnie chronione” – bankowa, lekarska, wynalazcza itd..); Wymagania związane z ochroną informacji wrażliwej dla organizacji (Ustawa z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji Dz.U. nr 47, poz. 211 z 1993 z póź. zm.);
Ustawa o ABW i AW, CBA
Kodeks Pracy Art. 100 §2, ust. 4. Pracownik jest zobowiązany w szczególności dbać o dobro zakładu pracy, chronić jego mienie oraz zachowywać w tajemnicy informację, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Art. 11. Ustawa o zwalczaniu nieuczciwej konkurencji §1 Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy §2 Przepis ust. 1 stosuje się również do osoby, która świadczyła pracę na podstawie stosunku pracy lub innego stosunku prawnego - przez okres trzech lat od jego ustania, chyba że umowa stanowi inaczej albo ustał stan tajemnicy. §4. Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.
Ustawa o zwalczaniu nieuczciwej konkurencji. Art.18 W razie dokonania czynu nieuczciwej konkurencji przedsiębiorca, którego interes został naruszony lub zagrożony może żądać: - zaniechania niedozwolonych działań; - usunięcia skutków niedozwolonych działań; - złożenia oświadczenia o odpowiedniej treści; - naprawienia wyrządzonej szkody; - wydanie bezpodstawnie uzyskanych korzyści.
Przepisy Kodeksu Karnego Art. 267. § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268. Przepisy Kodeksu Karnego § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3. § 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Przepisy Kodeksu Karnego Art. 269. § 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji.
Art. 266. Przepisy Kodeksu Karnego § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3. § 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
Ustawa o zwalczaniu nieuczciwej konkurencji. Art. 23 Kto wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informacje stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Inne wybrane regulacje prawne Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010r. Tajemnica Zawodowa Art. 171 §5 Prawa Bankowego. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, nie zgodnie z upoważnieniem określonym w ustawie podlega grzywnie do 1 miliona złotych i karze pozbawienia wolności do lat 3. Art. 306 §1. Ordynacji podatkowej Kto, będąc obowiązany do zachowania tajemnicy skarbowej, ujawnia informacje objęte tajemnicą, podlega karze pozbawienia wolności do lat 5.
PN-ISO/IEC 27001:2007 „ Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania” (przeznaczona do certyfikowania systemów zarządzania bezpieczeństwem informacji)
A. 6. 1. 5. Umowy o zachowaniu poufności A.6.1.5. Umowy o zachowaniu poufności. Zabezpieczenie Wymagania dla umów o zachowaniu poufności i nieujawnianiu informacji odzwierciedlające potrzeby organizacji w zakresie ochrony informacji powinny być określone i regularnie przeglądane. A.9.2.5. Bezpieczeństwo sprzętu poza siedzibą. Zabezpieczenie Sprzęt pozostający poza siedzibą powinien być chroniony przy uwzględnieniu ryzyk związanych z pracą poza siedzibą organizacji. A.10.8.4. Wiadomości elektroniczne. Zabezpieczenie Informacje zawarte w wiadomościach elektronicznych powinny być odpowiednio zabezpieczone. A.10.4.1. Zabezpieczenia przed kodem złośliwym. Zabezpieczenie Zabezpieczenia zapobiegające, wykrywające i usuwające kod złośliwy oraz właściwe procedury uświadamiania użytkowników powinny być wdrożone. A.10.5.1. Zapasowe kopie informacji. Zabezpieczenie Kopie zapasowe informacji i oprogramowania powinny być regularnie tworzone i testowane zgodnie z ustaloną polityką wykonywania kopii zapasowych. A.11.2.3. Zarządzanie hasłami użytkowników. Zabezpieczenie Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania. A.11.3.1. Używanie haseł. Zabezpieczenie Podczas wyboru i używania haseł użytkownicy powinni postępować zgodnie ze sprawdzonymi praktykami bezpieczeństwa. A.11.3.2. Pozostawienie sprzętu użytkownika bez opieki. Zabezpieczenie Użytkownicy powinni zapewnić odpowiednią ochronę sprzętu pozostawionego bez opieki.
Bezpieczeństwo fizyczne Obowiązki
Obowiązkowe szyfrowanie danych W urządzeniach pracodawcy i pracowników, na których przechowywane są informacje o statusie zgodnym z przyjętą polityką bezpieczeństwa (polityka jest obowiązkowa)
Uwaga System szyfrowania plików nie jest w pełni obsługiwany w systemach Windows 7 Starter, Windows 7 Home Basic i Windows 7 Home Premium, Vista Home Premium i Home Basic, Windows XP Home. Dostępne tylko w wersjach Windows Professional i Ultimate
TrueCrypt Szyfrowanie danych. Program może zaszyfrować zawartość całego dysku, wybranej partycji lub dysków przenośnych. Szyfrowanie odbywa się za pomocą algorytmów AES-256, Blowfish, CAST5, Serpent, Triple DES i Twofish. http://www.truecrypt.org
Dla domu ale nie dla szkoły Program Microsoft Security Essentials jest dostępny dla wszystkich użytkowników korzystających z oryginalnego systemu operacyjnego Windows i oferuje funkcje zabezpieczeń przed złośliwymi zagrożeniami, takimi jak wirusy, konie trojański, oprogramowanie szpiegowskie i inne. http://www.microsoft.com/pl- pl/security_essentials/ProductInformation.aspx
Powtarzamy do znudzenia Stosuj silne hasła, trudne do odgadnięcia i złamania przez programy do łamania haseł. Włącz automatyczne aktualizacje systemu. Włącz zaporę ogniową (firewall) wbudowaną w system. Zainstaluj program antywirusowy. Regularnie skanuj cały komputer programem antywirusowym. Łącz się z internetem wykorzystując zaporę firewall programową lub sprzętową (np. router z funkcją firewall). Konto o uprawnieniach administratora używaj tylko do zadań wymagających pełnych uprawnień. Systematycznie wykonuj kopie zapasowe najważniejszych plików i partycji dysku systemu. Wyłącz niepotrzebne usługi.
Procedury umieszczania informacji na szkolnej stronie internetowej, Proces Redaktorzy Wydawcy Czytaj Sprawdź Informacja Wydarzenie Wiadomość Zatwierdź Autorzy Treść Korekta Odpowiedzialność
Elektroniczny nadzór i śledzenie procesu decyzji w szkole http://www.redmine.org/
Nowy zadanie do wykonania Pracuję nad tym Zakończyłem Pracownik Pracownik Pracownik Zlecający zadanie Pracownik Zlecający zadanie Ekspert Zlecający zadanie Mam pytanie Wyjaśnienie Pracownik Akceptacja Akceptacja Zlecającego zadanie Kierownik Do korekty ©
Pracownik jednym kliknięciem uaktualnia Status zagadnienia (zadania), wpisując ewentualne pytania do zlecającego zadanie
Pracownik po wejściu do zadania może przeczytać odpowiedź Pracownik po wejściu do zadania może przeczytać odpowiedź. Widoczna jest cała historia korespondencji. Powiadomienia o otrzymaniu wiadomości od zlecającego zadanie do wykonania są również wysyłane na skrzynkę E-mail
Twoja infrastruktura Twoim Alibi Ile czasu trzymać logi? Co kiedy nie mam logów?
Który dokument jest dobry? Kto poprawił dokument? Gdzie jest wersja z wczoraj? Gdzie jest wersja z przedwczoraj? Gdzie jest wersja z przed tygodnia? Gdzie jest wersja z przed miesiąca? Gdzie jest wersja z przed pół roku
http://www.midisegni.it/Pol/tale_cappuccettoRosso.html
Dziękuję za uwagę Warszawa, 4 marca 2013 r.