Czy można spełnić wszystkie regulacje prawne jednym kliknięciem?

2

Sektorowe wymagania prawne

Ustawy zaczynamy czytać od …

3

Sektor bankowy

Ustawa z dnia 29 sierpnia 1997 r. – Prawo

bankowe (Dz. U. z 2002 r. Nr 72, poz. 665, z

późn. zm).

Ustawa z dnia 16 listopada 2000 r. o

przeciwdziałaniu praniu pieniędzy oraz

finansowaniu terroryzmu (tekst jedn. Dz.U.

z 2010 r. nr 46, poz. 276 z późn. zm.).

Rekomendacja M znowelizowana 8 stycznia

2013 roku – stanowi zbiór zasad dobrej

praktyki w zakresie ostrożnego i stabilnego

zarządzania ryzykiem operacyjnym w

bankach.

Rekomendacja D znowelizowana 8 stycznia

2013 roku – dotyczy zarządzania obszarami

technologii informacyjnej i bezpieczeństwa

środowiska teleinformatycznego w

bankach.

4

Tajemnica bankowa

Zgodnie z treścią art. 104 ust. 1

banki, osoby w nich zatrudnione i

osoby, za których pośrednictwem

bank wykonuje czynności bankowe,

są zobowiązane zachować

tajemnicę bankową obejmującą

wszystkie informacje dotyczące

czynności bankowej uzyskane w

trakcie negocjacji, w trakcie

zawierania i realizacji umowy, na

podstawie której bank tę czynność

wykonuje.

5

Podstawowe definicje i pojęcia – Rekomendacja M

Pojęcie bezpieczeństwa informacji

zdefiniowane w Rekomendacji M:

4.23. - Konstrukcja procesów w banku

powinna zapewniać bezpieczeństwo

informacji związanych z prowadzoną

działalnością.

4.24. - Zakłócenia w przepływie,

przetwarzaniu lub przechowywaniu

informacji (m. in. występujących w formie

papierowej albo elektronicznej – a także

posiadanych przez pracowników, ale nie

zarejestrowanych w żadnej formie) mogą

prowadzić do znaczących strat

operacyjnych w wymiarze finansowym, ale

mogą również mieć wpływ na reputację

banku i w konsekwencji powodować utratę

potencjalnych zysków.

Sektor telekomunikacyjny

Ustawa prawo telekomunikacyjne

warunki świadczenia usługi

powszechnej;

warunki ochrony użytkowników

usług;

warunki przetwarzania danych w

telekomunikacji i ochrony tajemnicy

telekomunikacyjnej;

Spółki telekomunikacyjne podejmują

działania, aby lepiej chronić

wrażliwe informacje, korzystając z

usług zabezpieczeń elektronicznych

opartych na chmurze, takich jak

monitoring w czasie rzeczywistym i

narzędzie śledzenia zabezpieczeń.

6

Sektor medyczny

Ustawa z dnia 15 kwietnia 2011 r. o

działalności leczniczej (Dz.U. z 2014 r. poz.

1626)

Prowadzenie elektronicznej dokumentacji

medycznej (EDM)

Rozporządzenie Ministra Zdrowia w

sprawie rodzajów i zakresu dokumentacji

medycznej oraz sposobu jej

przetwarzania z dnia 21 grudnia 2010 r.

(Dz.U. Nr 252, poz. 1697)

Ustawa z dnia 6 listopada 2008 r. o

prawach pacjenta i Rzeczniku Praw

Pacjenta (Dz. U. z 2012 r. poz. 159 i 742)

Ustawa z dnia 18 lipca 2002 r. o

świadczeniu usług drogą elektroniczną

(Dz.U. z 2013 r. poz. 422)

7

8

Podstawowe grupy informacji chronionych w firmach

Dane osobowe – na podstawie Ustawy o

ochronie danych osobowych - ochronie w

Banku podlega informacja zawierająca dane

osobowe. Za dane osobowe uważa się

wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

Tajemnica przedsiębiorstwa – na podstawie

Ustawy o zwalczaniu nieuczciwej konkurencji

- ochronie w Banku podlega informacja objęta

tajemnicą przedsiębiorstwa. Przez tajemnicę

przedsiębiorstwa rozumie się nie ujawnione

do wiadomości publicznej informacje

techniczne, technologiczne, handlowe lub

organizacyjne przedsiębiorstwa, co do

których przedsiębiorca (w tym wypadku Bank)

podjął niezbędne działania w celu zachowania

ich poufności.

9

Podstawowe definicje i pojęcia

Grupy informacji chronionych

Tajemnice chronione prawem w Polsce

tajemnica autorska

tajemnica bankowa

tajemnica biegłego rewidenta

tajemnica doradcy podatkowego

tajemnica funduszy inwestycyjnych

tajemnica dziennikarska

tajemnica geologiczna

tajemnica handlowa

tajemnica kontroli państwowej

tajemnica ksiąg rachunkowych

tajemnica maklerska

tajemnica oświadczeń majątkowych

tajemnica pomocy społecznej

tajemnica pracodawcy

tajemnica przedsiębiorstwa

tajemnica pocztowa

tajemnica lekarska

tajemnica pielęgniarska

tajemnica aptekarska

tajemnica zdrowia psychicznego

tajemnica adwokacka

tajemnica komornika sądowego

tajemnica notarialna

tajemnica prokuratorska

tajemnica radcowska (radców prawnych)

tajemnica sędziowska (por. wyrokowanie)

tajemnica skarbowa

tajemnica spowiedzi

tajemnica statystyczna

tajemnica ubezpieczeń społecznych

tajemnica wojskowa

tajemnica wynalazcza

10

Dane osobowe

Wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest

osoba, której tożsamość można określić

bezpośrednio lub pośrednio, w

szczególności przez powołanie się na

numer identyfikacyjny albo jeden lub

kilka specyficznych czynników

określających jej cechy fizyczne,

fizjologiczne, umysłowe, ekonomiczne,

kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą

określenie tożsamości osoby, jeżeli

wymagałoby to nadmiernych kosztów,

czasu lub działań.

11

Podstawowe definicje i pojęcia

Bezpieczeństwo informacji

12

Podstawowe definicje i pojęcia

Informacja może być przetwarzana na różnych typach nośników (m.in. papierowych,

magnetycznych, optycznych itp.), w szczególności w systemach informatycznych.

INFORMACJA

NOŚNIK

+ Nośniki tradycyjne

Nośniki elektroniczne

Człowiek

13

Podstawowe definicje i pojęcia

Bezpieczeństwo informacji, a tym samym i bezpieczeństwo IT to zachowanie

poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod

uwagę inne własności, takie jak autentyczność, rozliczalność,

niezaprzeczalność i niezawodność.

Bezpieczeństwo informacji to zachowanie:

Właściwość, że informacja

nie jest udostępniana lub

wyjawiana

nieupoważnionym osobom,

podmiotom lub procesom.

POUFNOŚĆ

Właściwość zapewnienia

dokładności i

kompletności aktywów.

INTEGRALNOŚĆ

Właściwość bycia

dostępnym i użytecznym

na żądanie uprawnionego

podmiotu.

DOSTĘPNOŚĆ

14

Możliwe zabezpieczenia

Problemy

Identyfikacja zasobów – co chronić i jak? - dane systemowe, informacje?

Identyfikacja zagrożeń – przed czym chronić? - utrata danych, dostęp osób nieupoważnionych, możliwe ataki socjotechniczne

Identyfikacja podatności – gdzie są słabe punkty? - brak procedur, brak procesu zarządzania dokumentacją, brak ochrony, brak redundancji (sprzętowej i osobowej)

Rozwiązania

Bezpieczny dostęp do dokumentów z danymi

Odpowiedni poziom poufności danych

Odpowiedni poziom uprawnień do dokumentów

Odpowiedni poziom ryzyka niezgodności

15

Bezpieczeństwo dokumentów

Klasyfikacja

Poufność

Integralność

Dostępność

Uwierzytelnienie

Niepodważalność

Wiarygodność

Audytowalność

16

Wybrane referencje Alfresco

17

Wybrane referencje Alfresco

18

Kontakt

Dariusz Romańczuk

Konsultant

Dariusz.romanczuk@bcmg.pl

www.bcmg.pl