Prawne wymogi bezpieczeństwa systemów informatycznych w polskich przedsiębiorstwach
Pełen tekst
(2) 110. Jan Madej. osobowych [ustawa ODO 1997]1. Niniejszy artykuł poświęcony jest prawnym wymogom bezpieczeństwa systemów informatycznych, które na polskie przedsiębiorstwa nakładają pozostałe akty prawne, takie jak ustawy o ochronie informacji niejawnych [ustawa OIN 1999], o prawie autorskim i prawach pokrewnych [ustawa PAiPP 1994], o systemie ubezpieczeń społecznych [ustawa SUS 1998], o podpisie elektronicznym [ustawa PE 2001], o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993]. Głównym celem artykułu jest przedstawienie wymagań w zakresie bezpieczeństwa SI nakładanych na polskie przedsiębiorstwa przez wspomniane ustawy oraz dalsze uzasadnienie wniosku o prawnym obowiązku kompleksowej ochrony systemów informatycznych przedsiębiorstw. 2. Ustawa o ochronie informacji niejawnych Przepisy ustawy o ochronie informacji niejawnych [ustawa OIN 1999], zgodnie z art. 1 ust. 2, mają zastosowanie do organów władzy publicznej (m.in. sejmu, senatu, Prezydenta RP, sądów), sił zbrojnych RP, Narodowego Banku Polskiego i banków państwowych, państwowych osób prawnych oraz przedsiębiorców, jednostek naukowych lub badawczo-rozwojowych ubiegających się o zawarcie lub wykonujących umowy związane z dostępem do informacji niejawnych2. Oznacza to, że ustawa dotyczy stosunkowo niewielkiej liczby przedsiębiorstw. Jednak zna Wymienione ustawy zostały omówione w pracy [Madej, Szymczyk-Madej 2009], a ich analiza pozwoliła wyciągnąć wnioski na temat bezwzględnej konieczności zapewnienia przez przedsiębiorstwa kompleksowej ochrony swoim systemom informatycznym. 1. 2 Informacja niejawna to informacja stanowiąca tajemnicę państwową lub służbową. „Tajemnica państwowa to informacja niejawna, określona w wykazie informacji niejawnych, stanowiącym załącznik nr 1, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej, a w szczególności dla niepodległości lub nienaruszalności terytorium, interesów obronności, bezpieczeństwa państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę” (art. 2 pkt 1). Dla tajemnicy państwowej określone zostały dwie klauzule tajności (art. 23 ust. 1): – „ściśle tajne” – jeśli nieuprawnione ujawnienie mogłoby spowodować m.in. istotne zagrożenie dla niepodległości lub nienaruszalności terytorium RP albo zagrażać nieodracalnymi lub wielkimi stratami dla interesów obronności, bezpieczeństwa państwa i obywateli, – „tajne” – jeśli nieuprawnione ujawnienie mogłoby spowodować m.in. zagrożenie dla międzynarodowej pozycji państwa, interesów obronności, bezpieczeństwa państwa i obywateli albo narazić je na znaczną szkodę. Wspomniany załącznik nr 1 zawiera 30 pozycji z klauzulą „ściśle tajne” i ponad 60 z klauzulą „tajne”. „Tajemnica służbowa to informacja niejawna niebędąca tajemnicą państwową, uzyskana w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie.
(3) Prawne wymogi bezpieczeństwa systemów…. 111. jomość jej treści może okazać się pomocna przy opracowywaniu polityki bezpieczeństwa w przedsiębiorstwie. Analiza tego aktu pozwala pozyskać wiadomości m.in. o wymaganiach w zakresie środków fizycznej ochrony informacji, sposobach ochrony systemów i sieci teleinformatycznych, postępowaniu sprawdzającym osób majacych dostęp do informacji niejawnych oraz zasadach udostępniania tych informacji. Ponadto dla przedsiębiorstw istotne są przepisy określające warunki uzyskania „świadectwa bezpieczeństwa przemysłowego”, dokumentu, bez którego nie jest możliwe wykonywanie zleceń wymagających dostępu do informacji niejawnej. Z treści ustawy wynika, że za ochronę informacji niejawnych odpowiada kierownik jednostki organizacyjnej, w której informacje niejawne są wytwarzane, przetwarzane, przekazywane lub przechowywane (art. 18 ust. 1). Za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych odpowiada pełnomocnik do spraw ochrony informacji niejawnych, tzw. „pełnomocnik ochrony”, podlegający bezpośrednio kierownikowi jednostki (art. 18 ust. 2). Kieruje on wyodrębnioną komórką organizacyjną, tzw. „pinem ochrony”, wyspecjalizowaną do ochrony informacji niejawnych. Do jej zadań w zakresie bezpieczeństwa SI należy (art. 18 ust. 4): zapewnienie ochrony informacji niejawnych; ochrona systemów i sieci teleinformatycznych; zapewnienie ochrony fizycznej jednostki organizacyjnej; kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ich ochronie; okresowa kontrola ewidencji, materiałow i obiegu dokumentów; opracowanie planu ochrony jednostki organizacyjnej i nadzorowanie jego realizacji; szkolenie pracowników w zakresie ochrony informacji niejawnych. Zagadnieniu fizycznej ochrony informacji ustawodawca poświęcił rozdział 9, pt. „Środki ochrony fizycznej informacji niejawnych”. Zgodnie z nim, jednostki, w których materiały zawierające informacje niejawne są wytwarzane, przetwarzane, przekazywane lub przechowywane zobowiązane są do „stosowania środków ochrony fizycznej w celu uniemożliwienia osobom nieupoważnionym dostępu do takicj informacji” (art. 56 ust. 1). Oddzielny rozdz. 10 pt. „Bezpieczeństwo systemów i sieci teleinformatycznych” poświęcony jest ochronie informacji przechowywanych w SI i przekazywanych za pomocą sieci. O uznaniu przez ustawodawcę ich stale rosnącego znaczenia świadczy, że już na wstępie zaznaczył on, iż „systemy i sieci teleinformatyczne, służące do wytwarzania, przechowywania, przetwarzania lub przekazywania informacji niejawnych stanowiących tajemnicę państwową, podlegają szczególchroniony interes obywateli albo jednostki organizacyjnej” (art. 2 pkt 2). Dla tajemnicy służbowej określone są dwie klauzule tajności (art. 23 ust. 2): – „poufne” – jeśli nieuprawnione ujawnienie spowodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli, – „zastrzeżone” – jeśli nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej..
(4) 112. Jan Madej. nej ochronie przed nieuprawnionym ujawnieniem tych informacji, a także przed możliwością przypadkowego lub świadomego narażenia ich bezpieczeństwa” (art. 60 ust. 1)3. Ponadto rozwinięciem i uszczególowieniem przepisów ustawy jest wydanie przez Prezesa Rady Ministrów rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych [rozporządzenie PRM 1999]. Zgodnie z nim bezpieczeństwo, nazwane w rozporządzeniu „bezpieczeństwem teleinformatycznym”, osiąga się dzięki (§2 ust. 2): ochronie fizycznej, ochronie elektromagnetycznej, ochronie kryptograficznej, bezpieczeństwu transmisji, kontroli dostępu do urządzeń systemu lub sieci teleinformatycznej. Odpowiedzialność karną za przestępstwo nieuprawnionego ujawniania lub przekazywania informacji niejawnych określa kodeks karny [k.k. 1997]. Za ujawnienie lub nieuprawnione wykorzystanie tajemnicy państwowej grozi kara pozbawienia wolności od 3 miesięcy do lat 5 (art. 265 §1 k.k.). Ponadto za ujawnienie tajemnicy państwowej na rzecz podmiotu zagranicznego grozi kara pozbawienia wolności od 6 miesięcy do lat 8 (art. 265 §2 k.k.), a za nieumyślne ujawnienie – grzywna, ograniczenie lub pozbawienie wolności do roku (art. 265 §3 k.k.). O ile naruszenie tajemnicy państwowej, według obowiązującego kodeksu karnego, jest przestępstwem, którego może dopuścić się każda osoba, o tyle ujawnienie tajemnicy służbowej zostało bezpośrednio określone w kodeksie jako występek funkcjonariusza publicznego. Za jej ujawnienie podlega on karze pozbawienia wolności do lat 3 (art. 266 §2 k.k.). Jednak w stosunku do tajemnicy służbowej ma zastosowanie także wspomniany wcześniej art. 266 §1 k.k., zgodnie z którym ujawnienie lub wykorzystanie informacji wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu podlega karze grzywny, ograniczenia lub pozbawienia wolności do lat 2. 3. Ustawa o prawie autorskim i prawach pokrewnych Z puntu widzenia bezpieczeństwa SI najważniejszy jest fakt, że zgodnie z ustawą o prawie autorskim i prawach pokrewnych (zob. Dz.U. z 1994 r., nr 24, poz. 83 [ustawa PAiPP 1994]) program komputerowy jest przedmiotem prawa Przekazywanie informacji stanowiących tajemnicę państwową może nastąpić pod warunkiem zastosowania kryptograficznych metod i środków ochrony dopuszczonych do eksploatacji na podstawie szczególnych wymagań bezpieczeństwa (art. 60 ust. 2). Ponadto system (sieć teleinformatyczna) musi posiadać certyfikat wydany przez właściwą służbę ochrony państwa (art. 62 ust. 1). Dodatkowo dla podniesienia bezpieczeństwa systemu, kierownik jednostki organizacyjnej wyznacza (art. 63 ust. 1): 1) osobę (zespół osób), tzw. „administratora systemu” odpowiedzialną za funkcjonowanie systemu oraz za przestrzeganie zasad i wymagań bezpieczeństwa, 2) pracownika pionu ochrony pełniącego funkcję „inspektora bezpieczeństwa teleinformatycznego” odpowiedzialnego za kontrolę zgodności funkcjonowania systemu ze szczególnymi wymaganiami bezpieczeństwa. 3.
(5) Prawne wymogi bezpieczeństwa systemów…. 113. Tabela 1. Zagrożenie karą za nieprzestrzeganie przepisów ustawy o prawie autorskim i prawach pokrewnych (1994) w stosunku do programów komputerowych Czyn podlegający karze. Podstawa prawna. Zagrożenie karą. Przywłaszczenie autorstwa lub wprowa- art. 115 ust. 1 grzywna, ograniczenie lub pozbawienie dzenie w błąd co do autorstwa programu wolności do lat 3 Rozpowszechnianie cudzego programu bez nazwiska (pseudonimu) autora. art. 115 ust. 2 grzywna, ograniczenie lub pozbawienie wolności do lat 3. Rozpowszechnianie bez upoważnienia cudzego programu – dla osiągnięcia korzyści majątkowych. art. 116 ust. 1 grzywna, ograniczenie lub pozbawienie wolności do lat 2 art. 116 ust. 2 grzywna, ograniczenie lub pozbawienie wolności do lat 3 art. 116 ust. 3 pozbawienie wolności od 6 miesięcy do lat 5 art. 116 ust. 4 grzywna, ograniczenie lub pozbawienie wolności do roku. Inne naruszenie cudzych praw autorskich art. 115 ust. 3 grzywna, ograniczenie lub pozbawienie w celu uzyskania korzyści majątkowych wolności do roku. – gdy jest to stałe źródło dochodu sprawcy lub kieruje on tą działalnością – gdy jest to działanie nieumyślne Powielanie bez uprawnień cudzego programu w celu rozpowszechnienia – gdy jest to stałe źródło dochodu sprawcy lub kieruje on tą działalnością. Nabywanie, pomaganie w zbyciu, ukrywanie lub przyjmowanie programów powielonych bez uprawnień. – gdy jest stałe źródło dochodu sprawcy lub kieruje on tą działalnością – gdy sprawca powinien i może przypuszczać, że uzyskano je w sposób zabroniony. art. 117 ust. 1 grzywna, ograniczenie lub pozbawienie wolności do lat 2 art. 117 ust. 2 pozbawienie wolności do lat 3. art. 118 ust. 1 pozbawienie wolności od 3 miesięcy do lat 5 art. 118 ust. 2 pozbawienie wolności od roku do lat 5 art. 118 ust. 3 grzywna, ograniczenie lub pozbawienie wolności do lat 2. Źródło: opracowanie własne.. autorskiego, tak samo jak utwory artystyczne, literackie i fonograficzne, a więc jako utwór podlega ochronie prawnej (art. 1, ust. 2, pkt 1). Ochrona ta obejmuje każdą jego formę (dokumentację, kod źródłowy, postać wykonywalną). W związku z tym karalne jest m.in.: – przywłaszczenie autorstwa (plagiat) lub wprowadzenie w błąd co do autorstwa całości lub części programu komputerowego, – rozpowszechnianie bez podania nazwiska lub pseudonimu autora cudzego programu komputerowego, – inne naruszenie cudzego prawa autorskiego w celu uzyskania korzyści majątkowej,.
(6) 114. Jan Madej. – rozpowszechnianie bez upoważnienia albo wbrew jego warunkom cudzego programu, – utrwalanie albo zwielokrotnianie (powielanie) bez uprawnień lub wbrew jego warunkom cudzego programu w celu rozpowszechniania, – nabywanie, pomaganie w zbyciu, przyjmowanie lub ukrywanie w celu osiągnięcia korzyści majątkowych programów komputerowych zwielokrotnionych bez uprawnień. Artykuły 116–118 dają solidne podstawy do ścigania wszystkich uczestników procederu zwanego potocznie „piractwem komputerowym”. Karalne jest nielegalne powielanie, rozpowszechnianie, sprzedaż oraz nabywanie (pomaganie w zbyciu) programów komputerowych w celu osiągnięcia korzyści majątkowych. Uczynienie z tego procederu stałego źródła dochodu albo organizowanie lub kierowanie grupą przestępczą grozi najwyższą sankcją karną w omawianej ustawie (tabela 1). Ponadto w wypadku skazania sprawcy sąd orzeka przepadek przedmiotów pochodzących z przestępstwa oraz może orzec przepadek przedmiotów służących do popełnienia przestępstwa, choćby nie były własnością sprawcy (art. 121 ust. 1–2). Tak więc wykorzystanie w przedsiębiorstwie, dla realizacji jego celów, powielonych bez uprawnień programów komputerowych jest przestępstwem. Oznacza to, że w przedsiębiorstwie nie wolno nie tylko posługiwać się „pirackimi” kopiami programów, ale także instalować legalnie zakupionego oprogramowania na większej liczbie stanowisk niż na to zezwala licencja. Korzystanie z nielegalnego oprogramowania stanowi też inne zagrożenie dla przedsiębiorstwa (w wypadku kontroli) – wykrycie takiego oprogramowania oznacza jego zarekwirowanie, a tym samym ewentualne problemy z funkcjonowaniem systemu informatycznego. 4. Ustawa o systemie ubezpieczeń społecznych Aktem prawnym, który określa zasady funkcjonowania systemu ubezpieczeń społecznych w Polsce, jest ustawa o systemie ubezpieczeń społecznych [ustawa SUS 1998]. Wprowadzone do niej zmiany objęły m.in. sposób przekazywania przez przedsiębiorstwa dokumentów do zakładu Ubezpieczeń Społecznych. W związku z nimi w ustawie pojawił się zapis zobowiązujacy przedsiębiorców (płatników składek) do przekazywania dokumentów (m.in. zgłoszeń, imiennych raportów miesięcznych, deklaracji rozliczeniowych) poprzez teletransmisję danych w formie dokumentu elektronicznego z aktualnego peogramu informatycznego udostępnionego przez Zakład (art. 47a ust. 1). Tylko płatnicy rozliczajacy składki nie więcej niż 20 osób mogą przekazywać te dane w formie dokumentu pisemnego (art. 47a ust. 2)..
(7) Prawne wymogi bezpieczeństwa systemów…. 115. Przekazywanie dokumentów elektronicznych odbywa się za pomocą programu „Płatnik”, który dla zapewnienia bezpieczeństwa danych (ich poufności, integralności i autentyczności) wykorzystuje kryptograficzne algorytmy asymetryczne oraz dodatkowo w celu potwierdzenia wiarygodności klucza publicznego, wymaga jego certyfikacji (zob. np. [ZUS m. 2002]). Aktem wykonawczym do ustawy jest odpowiednie rozporządzenie [MPiPS 2001], które nakłada na płatników składek obowiązek ochrony swojego klucza prywatnego (§4 ust. 5) oraz odpowiedzialność za nieprawidłowosci w dokumentach ubezpieczeniowych będące wynikiem dostępu do klucza prywatnego osób nieupoważnionych (§4 ust. 6). Płatnik ponosi odpowiedzialność, nawet gdy do przekazywania dokumentów ubezpieczeniowych w formie elektronicznej upoważnił inną osobę fizyczną lub prawną. 5. Ustawa o podpisie elektronicznym Aktem prawnym określającym warunki i skutki prawne stosowania podpisu elektronicznego oraz zasady świadczenia usług certyfikacji i zasady nadzoru nad podmiotami świadczącymi te usługi jest ustawa o podpisie elektronicznym [ustawa PE 2011] wraz z rozporządzeniem RM [2002]. Zagadnieniom związanym z funkcjonowaniem w Polsce podpisu elektronicznego oraz jego unormowaniom prawnym, poświęcono wiele miejsca na łamach mediów, konferencji i publikacji (zob. np.: [Srebrny, Urbanowicz 2000], [Kutyłowski 2001], [Mosiewicz 2002], [Jacyszyn i in. 2002]). O ile wszyscy autorzy są zgodni, że unormowanie, rozpowszechnianie i wdrożenie idei podpisu elektronicznego jest konieczne, o tyle zdecydowana większość uważa, że rozwiązania przyjęte w polskim prawie nie są dobre i wymagają zmian4. W zakresie bezpieczeństwa ustawa poświęca dużo uwagi obowiązkom podmiotów, które świadczą usługi certyfikacyjne i wydają kwalifikowane certyfikaty. Zgodnie z nią (rozdz. 3, pt. „Obowiązki podmiotów świadczących usługi certyfikacyjne”), są oni zobowiązani m.in. zapewnić środki przeciwdziałające fałszerstwom certyfikatów (w szczególności przez ochronę urzadzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych), zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych oraz zapewnić poufność procesu tworzenia danych służących do składania pod4 W projektach ustawy zauważono istotne błędy merytoryczne i przestrzegano przed ich utrwaleniem (zob. np. krytyczna opinia kryptologów, prof. M. Karońskiego M. Kutyłowskiego [2001]), a przyjętej ostatecznie wersji również zarzuca się wiele nieprawidłowości i nieścisłości. Przepisy ustawy zostały nawet zaskarżone przez Polską Izbę Informatyki i Telekomunikacji (PIIT) do Trybunału Konstytucyjnego jako niezgodne z konstytucją [PIIT k. 2002]. Z ostrą krytyką ze strony specjalistów z Polskiej Izby Informatyki i Telekomunikacji oraz Polskiego Towarzystwa Informatycznego spotkało się także rozporządzenie Rady Ministrów [PIIT k. 2002]..
(8) 116. Jan Madej. pisu elektronicznego (art. 10 ust. 1 pkt. 3, 4, 9). Ponadto informacje związane ze świadczeniem usług certyfikacyjnych, których nieuprawnione ujawnienie mogłoby narazić na szkodę podmiot świadczący usługi certyfikacyjne lub odbiorcę tych usług, są objęte tajemnicą (art. 12 ust. 1). Do jej zachowania są zobowiązane osoby reprezentujące podmiot świadczący usługi certyfikacyjne lub pozostające z nim w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze (art. 12 ust. 2). Obowiazek zachowania tajemnicy trwa przez okres 10 lat od ustania wymienionych stosunków prawnych (art. 12 ust. 4). Jeżeli chodzi o odbiorcę usług certyfikacyjnych, to jest on zobowiązany przechowywać dane służące do składania podpisu elektronicznego w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do weryfikacji tych podpisów (art. 15). 6. Ustawa o zwalczaniu nieuczciwej konkurencji Podstawowym aktem prawnym, którego celem jest przeciwdziałanie niedozwolonym praktykom w obszarze konkurencji rynkowej jest ustawa o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993]. Zgodnie z art. 1, ustawa „reguluje zapobieganie i zwalczanie nieuczciwej konkurencji w działalności gospodarczej […] w interesie publicznym, przedsiębiorców oraz klientów, a zwłaszcza konsumentów”. Za czyn nieuczciwej konkurencji uznawane jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta (art. 3 ust. 1). Ponadto „czynem nieuczciwej konkurencji jest przekazanie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża istotnym interesom przedsiębiorcy” (art. 11 ust. 1). Przepis ten dotyczy również osób, które pracowały dla przedsiębiorstwa (na podstawie stosunku pracy lub innego stosunku prawnego). Zachowanie tajemnicy obowiązuje przez okres trzech lat od zakończenia pracy, chyba że umowa stanowi inaczej albo ustał stan tajemnicy (art. 11 ust. 2). Jeżeli ujawnianie lub wykorzystywanie we własnej działalności gospodarczej tajemnicy przedsiębiorstwa wyrzadza poważną szkodę przedsiębiorcy, podlega ono grzywnie, karze ograniczenia lub pozbawienia wolności do lat 2 (art. 23 ust. 1). Tej samej karze podlega bezprawne uzyskanie tajemnicy przedsiębiorstwa i ujawnienie jej innej osobie lub wykorzystanie we własnej działalności gospodarczej (art. 23 ust. 2). Pod pojęciem „tajemnicy przedsiębiorstwa” rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności (art. 11 ust. 4). Zatem aby przedsiębiorstwo mogło sko-.
(9) Prawne wymogi bezpieczeństwa systemów…. 117. rzystać z prawnej ochrony informacji, zgodnie z ustawą o zwalczaniu nieuczciwej konkurencji, informacje te muszą zostać najpierw odpowiednio zabezpieczone. Tabela 2. Zagrożenie karą za czyny nieuczciwej konkurencji Czyn podlegający karze Ujawnienie tajemnicy przedsiębiorstwa lub wykorzystanie jej we własnej działalności gospodarczej, gdy wyrządza to poważną szkodę przedsiębiorcy Bezprawne uzyskanie tajemnicy przedsiębiorstwa i ujawnienie jej innej osobie lub wykorzystanie we własnej działalności gospodarczej Rozpowszechnianie nieprawdziwych lub wprowadzających w błąd informacji o przedsiębiorstwie (np. o towarach, cenach) w celu zaszkodzenia mu. Podstawa prawna. Zagrożenie karą. art. 23 ust. 1 grzywna, ograniczenie lub pozbawienie wolności do lat 2 art. 23 ust. 2 grzywna, ograniczenie lub pozbawienie wolności do lat 2 art. 26 ust. 1–2. grzywna lub areszt. Źródło: opracowanie własne na podstawie: [ustawa ZNK 1993].. Innego rodzaju czynem nieuczciwej konkurencji jest rozpowszechnianie nieprawdziwych lub wprowadzajacych w błąd informacji o swoim albo innym przedsiębiorstwie, w celu wyrządzenia mu szkody albo osiągnięcia korzyści (majątkowych lub osobistych) – dla siebie, swojego przedsiębiorstwa lub osoby trzeciej (art. 14 ust. 1). Za taki czyn, szczególnie jeżeli nieprawdziwe informacje dotyczą osób kierujących przedsiębiorstwem, wytwarzanych towarów, świadczonych usług, stosowanych cen, sytuacji gospodarczej lub prawnej przedsiębiorstwa, grozi kara aresztu lub grzywny (art. 26 ust. 1 i 2). Ściganie przewidzianych w ustawie przestępstw następuje na wniosek pokrzywdzonego, a wykroczeń – na żądanie pokrzywdzonego (art. 27 ust. 1). 7. Podsumowanie Omówione pod kątem bezpieczeństwa SI akty prawne to: – ustawa o ochronie informacji niejawnych [ustawa OIN 1999] i rozporządzenie PRM [1999] obowiązuje grupę przedsiębiorstw mających dostęp do informacji niejawnych lub ubiegających się o niego. Przepisy w nich zawarte nakładają na te przedsiębiorstwa obowiązek bardzo szczegółwego i rygorystycznego zarządzania bezpieczeństwem SI; – ustawa o prawie autorskim i prawach pokrewnych [ustawa PAiPP 1994] obejmuje ochroną każdą postać programu komputerowego i daje gruntowne podstawy prawne do ścigania wszystkich uczestników procederu piractwa komputerowego. Zgodnie z jej przepisami w przedsiębiorstwie nie wolno używać.
(10) Jan Madej. 118. pirackich kopii programów oraz korzystać z legalnego oprogramowania wbrew warunkom licencji; – ustawa o systemie ubezpieczeń społecznych [ustawa SUS 1998] oraz rozporządzenie MPiPS [2001] nakłada na przedsiębiorstwa obowiązek ochrony elementów SI wykorzystywanych przy przekazywaniu dokumentów do ZUS oraz odpowiedzialność za nieprawidłowości w dokumentach spowodowane ich niedostateczną ochroną; – ustawa o podpisie elektronicznym [ustawa PE 2001] oraz rozporządzenie RM [2002] nakłada liczne obowiązki na podmioty świadczące usługi certyfikacyjne i wydające kwalifikowane certyfikaty. Przedsiębiorstwa korzystające z usług certyfikacyjnych zobowiązane są chronić dane służące do składania podpisu elektronicznego; – ustawa o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993] w zakresie bezpieczeństwa SI zabrania pracownikom m.in. ujawniania lub przekazywania innej osobie tajemnicy przedsiębiorstwa oraz wykorzystywania jej we własnej działalności gospodarczej. Ponieważ tajemnica przedsiębiorstwa to nieujawnione do publicznej wiadomości informacje, co do których podjęto niezbędne działania w celu zachowania ich poufności, dlatego aby przedsiębiorstwo mogło skorzystać z ich prawnej ochrony, musi je odpowiednio zabezpieczać. Tabela 3. Porównanie wybranych praw i obowiązków przedsiębiorstw w zakresie bezpieczeństwa SI na podstawie obowiązujących aktów prawnych. Obowiązek posiadania dokumentacji systemu informatycznego Obowiązek posiadania dokumentacji systemu ochrony. Obowiązek ochrony przed nieupoważnionym dostępem do informacji Obowiązek uwierzytelnienia i kontroli dostępu do SI. Obowiązek powołania osób upoważnionych do obsługi SI. x. x. x. x. x. x. x x. x. x. x. x. x. x. x. x. x. x. x. x. ZNK 1993. x. PE 2001. x. SUS 1998. Obowiązek objęcia tajemnicą (wybranych, kluczowych) informacji. x. PAiPP 1994. Obowiązek ochrony (wybranych) informacji. OIN 1999. Prawo do prawnej ochrony zabezpieczonych informacji. ODO 1994. Prawo do traktowania dokumentów elektronicznych na równi z papierowymi. o rach. 1994. Prawa i obowiązki przedsiębiorstwa. k.k. 1997. Ustawa (wraz z rozporządzeniami). x. x. x. x. x. x. x. x. x. x.
(11) Prawne wymogi bezpieczeństwa systemów… cd. tabeli 3. 119. Obowiązek szkoleń użytkowników systemu z zakresu bezpieczeństwa Obowiązek tworzenia kopii zapasowych. Obowiązek monitorowania systemu i reagowania na incydenty. x. Obowiązek opracowania szczegółowych zasad i procedur korzystania z SI (np. Rejestrowanie użytkowników, korzystanie z haseł, kontrola antywirusowa, awaria). Obowiązek opracowania szczegółowych zasad obchodzenia się z danymi (np. Przechowywanie nośników, niszczenie zużytych nośników) Obowiązek określenia chronionych stref bezpieczeństwa i zasad dostępu do nich. x. x. x. x. x. x. x. x. x. x. x. ZNK 1993. x. PE 2001. x. SUS 1998. x. PAiPP 1994. OIN 1999. Obowiązek powołania osób odpowiedzialnych za bezpieczeństwo SI. ODO 1994. o rach. 1994. Prawa i obowiązki przedsiębiorstwa. k.k. 1997. Ustawa (wraz z rozporządzeniami). x. Źródło: opracowanie własne.. Przeprowadzona analiza i porównaie obowiązujących aktów prawnych umożliwiła wyciągnięcie wniosków dotyczących bezpieczeństwa i ochrony systemów informatycznych przedsiębiorstw. Najważniejsze z nich można zawrzeć w następujących stwierdzeniach (por. tabela 3)5: – informacje w postaci elektronicznej osiągnęły lub przewyższyły rangą tradycyjne dokumenty papierowe [k.k. 1997], [ustawa o rachunkowości 1994], [ustawa SUS 1998], [ustawa PE 2001], – prawna ochrona przysługuje informacjom, które są odpowiednio zabezpieczone [k.k. 1997], [ustawa ZNK 1993], – zapewnienie ochrony ważnych informacji i danych w przedsiębiorstwie (np. dane księgowe, dane osobowe, tajemnice państwowe) nie ma charakteru uznaniowego, ale jest ustawowym obowiązkiem [ustawa o rachunkowości 1994], [ustawa ODO 1997], [ustawa OIN 1999], – ochrona systemu informatycznego powinna być kompleksowa i polegać na zaprojektowaniu, wdrożeniu i realizowaniu polityki bezpieczeństwa SI [ustawa o rachunkowości 1994], [ustawa ODO 1997], [ustawa OIN 1999], W tabeli i zestawieniu wykorzystano także wnioski i wyniki analizy przeprowadzonej we wcześniejszej pracy [Madej, Szymczyk-Madej 2009]. 5.
(12) 120. Jan Madej. – za ochronę informacji i danych przedsiębiorstwa odpowiedzialne jest jego kierownictwo [ustawa o rachunkowości 1994], [ustawa ODO 1997], [ustawa OIN 1999]. Należy zauważyć, że powyższe stwierdzenia dodatkowo uzasadniają wspomniany na wstępie wniosek, że aktualne przepisy prawa bezwzględnie wymagają od przedsiębiorstw zapewnienia kompleksowej ochrony systemom informatycznym, a odpowiedzialność za prawidłową realizację tego zadania ponosi ich kierownictwo. Po przeanalizowaniu wielu obowiązujących aktów prawnych z zupełnie różnych dziedzin, można stwierdzić, że w polskim prawie brakuje spójnego systemu ochrony SI i informacji6. Mimo to polskie przedsiębiorstwa zobowiązane są do przestrzegania istniejących przepisów prawa i zapewnienia ochrony swoim systemom informatycznym. Literatura Fischer B. [2000], Przestępstwa kompuiterowe i ochrona informacji, Kantor Wydawniczy Zakamycze, Kraków. Jacyszyn J. [2002], Podpis elektroniczny. Komentarz, Wydawnictwo LexisNexis, Warszawa. Karoński M., Kutyłowski M. [2001], Krytyczna opinia na temat projektów ustawy o podpisie elektronicznym skierowana do Przewodniczącego Komisji Łączności Sejmu Rzeczypospolitej Polskiej, Poznań. Kutyłowski M. [2001], Technologia podpisów elektronicznych, Telenet forum 3, Wydawnictwo Lupus, Warszawa. Madej J., Szymczyk-Madej K. [2009], Prawne wymogi bezpieczeństwa systemów informatycznych w polskich przedsiębiorstwach według kodeksu karnego, ustawy o rachunkowości i ustawy o ochronie danych osobowych, Zeszyty Naukowe UEK, nr 770, Kraków 2009. Mosiewicz M. [2002], Podpis elektroniczny – skutki prawne, gwarancje bezpieczeństwa, certyfikaty, dodatek do Praktyczny poradnik księgowego 14–15 2002, Wydawnictwo IFOR, Warszawa. PIIT skarży do Trybunału Konstytucyjnego przepisy ustawy o podpisie elektronicznym [PIIT k. 2002], komunikat z 22 października 2002 r. w: PIIT.www. Polska Izba Informatyki i Telekomunikacji, PIIT www, serwis internetowy, http://www. piit.org.pl. Rozporządzenie Ministra Pracy i Polityki Społecznej z 3 lipca 2001 r. w sprawie warunków, jakie muszą spełnić płatnicy składek przekazujący dokumenty ubezpieczeniowe Przykładowo B. Fischer [2000] zwraca uwagę na niespójności terminologiczne występujące w różnych ustawach. Pomimo że poszczególne akty prawne powstały w krótkim czasie, to np. w Kodeksie karnym czytamy o „przetwarzaniu, gromadzeniu lub przesyłaniu informacji, a ustawa o ochronie danych osobowych traktuje te czynności łącznie jako „przetwarzanie danych”. Różnie i niekonsekwentnie postrzegane są także w poszczególnych ustawach znaczenia terminów „informacja” i „dane”. 6.
(13) Prawne wymogi bezpieczeństwa systemów…. 121. w formie dokumentu elektronicznego poprzez teletransmisję danych [rozporządzenie MPiPS 2001], Dz.U. z 2001 r., nr 73, poz. 774. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych [rozporządzenie MSWiA 1998], Dz.U. z 1998 r., nr 80, poz. 521, z poźn. zm. Rozporządzenie Prezesa Rady Ministrów z 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych [Rozporządzenie PRM 1999], Dz.U. z 1999 r., nr 18, poz. 162. Rozporządzenie Rady Ministrów z 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityki certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego [rozporządzenie RM 2002], Dz.U. z 2002 r., nr 128, poz. 1094. Srebrny M., Urbanowicz J. [2000], Debata o podpisie elektronicznym, materiały z sekcji Prawo [w:] Bezpieczeństwo IT, miesięcznik internetowy, http://www.bezpieczenstwo. pl/. Ustawa z 13 października 1998 r. o ochronie informacji niejawnych [ustawa SUS 1999], Dz.U. z 1998 r., nr 137, poz. 887 z poźn. zm. Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993], Dz.U. z 1993 r., nr 47, poz. 211 z poźn. zm. Ustawa z 18 września 2001 r. o podpisie elektronicznym [ustawa PE 2001], Dz.U. z 2001 r., nr 130, poz. 1450 z poźn. zm. Ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych [ustawa OIN 1999], Dz.U. z 1999 r., nr 11, poz. 95 z poźn. zm. Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych [ustawa ODO 1997], Dz.U. z 1997 r., nr 133, poz. 883 z poźn. zm. Ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych [ustawa PAiPP 1994], Dz.U. z 1994 r., nr 24, poz. 83 z poźn. zm. Ustawa z 29 września 1994 r. o rachunkowości [ustawa o rachunkowości 1994], Dz.U. z 1994 r., nr 121, poz. 591 z poźn. zm. Ustawa z 6 czerwca 1997 r. Kodeks Karny [k.k. 1997], Dz.U. z 1997 r., nr 88, poz. 553. Uwagi PIIT i PTI do projektu rozporządzenia wykonawczego do ustawy o podpisie elektronicznym [PIIT k. 2002], materiały [w:] PIIT www. Zakład Ubezpieczeń Społecznych [ZUS www], serwis internetowy, http://www.zus.gov.pl/ Zasady elektronicznego przekazywania dokumentów ubezpieczeniowych do ZUS – poradnik dla podatników, materiały ZUS m. [2002]..
(14) 122. Jan Madej. Legal Requirements for Computer Systems Security in Polish Enterprises – Acts Concerning Secret Information Protection, Authorship Rights, Social Insurance System, Digital Signature, Eradication of Unfair Competition The article is devoted to computer system security requirements that are imposed on Polish enterprises by legal regulations. The most important legal acts that are related to computer system security issues in Poland have been presented. The legal requirements derived from regulations have been characterised and analysed. Consequently, a general conclusion concerning the responsibility of ensuring a complex protection for computer systems in Polish enterprises has been formulated. Key words: computer systems security, information protection, legal acts, penal code, act of accounting, act of personal data protection, act of secret information protection, act of authorship and related rights..
(15)
Powiązane dokumenty
Należy podać atrybuty tytułu: ISBN jako obowiązkowa dana oraz dodatkowo aktor, jeśli poszukiwany jest tytuł książki jako nagranie dźwiękowe. Tworzony jest tytuł wzorcowy
Należy podać atrybuty tytułu: ISBN jako obowiązkowa dana oraz dodatkowo aktor, jeśli poszukiwany jest tytuł książki jako nagranie dźwiękowe. Tworzony jest tytuł wzorcowy
• Metoda projektowania systemów informacyjnych jest zbiorem zasad dotyczących tworzenia komponentów systemu i łączenia ich relacjami;. • Nie istnieje jedna,
• Kiedy ma sens stwierdzenie, że program A jest dwa razy bardziej złożony niż program B. • Jaki sens ma stwierdzenie, że średnia złożoność programów w systemie A
Do momentu wciśnięcia przycisku wydającego napój klient może zrezygnować z zakupu wciskając przycisk „Zwrot monet”,. pieniądze
Wszystko to, co znajduje się poza granicami systemu, stanowi jego otoczenie, które może być traktowane jako system. Otoczenie systemu dzieli się na: otoczenie bliższe
Podstawowym celem analizy i projektowania jest zamiana wymagań w specyfikację sposobu.. implementowania
Argila, Analiza obiektowa i projektowanie przykłady zastosowań, Wydawnictwo Naukowo-Techniczne, Warszawa 2000.. Yourdon, Marsz