alfresco day warsaw 2016 - czy możliwe jest spełnienie wszystkich regulacji prawnych jednym...
TRANSCRIPT
Czy można spełnić wszystkie regulacje prawne jednym kliknięciem?
2
Sektorowe wymagania prawne
Ustawy zaczynamy czytać od …
3
Sektor bankowy
Ustawa z dnia 29 sierpnia 1997 r. – Prawo
bankowe (Dz. U. z 2002 r. Nr 72, poz. 665, z
późn. zm).
Ustawa z dnia 16 listopada 2000 r. o
przeciwdziałaniu praniu pieniędzy oraz
finansowaniu terroryzmu (tekst jedn. Dz.U.
z 2010 r. nr 46, poz. 276 z późn. zm.).
Rekomendacja M znowelizowana 8 stycznia
2013 roku – stanowi zbiór zasad dobrej
praktyki w zakresie ostrożnego i stabilnego
zarządzania ryzykiem operacyjnym w
bankach.
Rekomendacja D znowelizowana 8 stycznia
2013 roku – dotyczy zarządzania obszarami
technologii informacyjnej i bezpieczeństwa
środowiska teleinformatycznego w
bankach.
4
Tajemnica bankowa
Zgodnie z treścią art. 104 ust. 1
banki, osoby w nich zatrudnione i
osoby, za których pośrednictwem
bank wykonuje czynności bankowe,
są zobowiązane zachować
tajemnicę bankową obejmującą
wszystkie informacje dotyczące
czynności bankowej uzyskane w
trakcie negocjacji, w trakcie
zawierania i realizacji umowy, na
podstawie której bank tę czynność
wykonuje.
5
Podstawowe definicje i pojęcia – Rekomendacja M
Pojęcie bezpieczeństwa informacji
zdefiniowane w Rekomendacji M:
4.23. - Konstrukcja procesów w banku
powinna zapewniać bezpieczeństwo
informacji związanych z prowadzoną
działalnością.
4.24. - Zakłócenia w przepływie,
przetwarzaniu lub przechowywaniu
informacji (m. in. występujących w formie
papierowej albo elektronicznej – a także
posiadanych przez pracowników, ale nie
zarejestrowanych w żadnej formie) mogą
prowadzić do znaczących strat
operacyjnych w wymiarze finansowym, ale
mogą również mieć wpływ na reputację
banku i w konsekwencji powodować utratę
potencjalnych zysków.
Sektor telekomunikacyjny
Ustawa prawo telekomunikacyjne
warunki świadczenia usługi
powszechnej;
warunki ochrony użytkowników
usług;
warunki przetwarzania danych w
telekomunikacji i ochrony tajemnicy
telekomunikacyjnej;
Spółki telekomunikacyjne podejmują
działania, aby lepiej chronić
wrażliwe informacje, korzystając z
usług zabezpieczeń elektronicznych
opartych na chmurze, takich jak
monitoring w czasie rzeczywistym i
narzędzie śledzenia zabezpieczeń.
6
Sektor medyczny
Ustawa z dnia 15 kwietnia 2011 r. o
działalności leczniczej (Dz.U. z 2014 r. poz.
1626)
Prowadzenie elektronicznej dokumentacji
medycznej (EDM)
Rozporządzenie Ministra Zdrowia w
sprawie rodzajów i zakresu dokumentacji
medycznej oraz sposobu jej
przetwarzania z dnia 21 grudnia 2010 r.
(Dz.U. Nr 252, poz. 1697)
Ustawa z dnia 6 listopada 2008 r. o
prawach pacjenta i Rzeczniku Praw
Pacjenta (Dz. U. z 2012 r. poz. 159 i 742)
Ustawa z dnia 18 lipca 2002 r. o
świadczeniu usług drogą elektroniczną
(Dz.U. z 2013 r. poz. 422)
7
8
Podstawowe grupy informacji chronionych w firmach
Dane osobowe – na podstawie Ustawy o
ochronie danych osobowych - ochronie w
Banku podlega informacja zawierająca dane
osobowe. Za dane osobowe uważa się
wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
Tajemnica przedsiębiorstwa – na podstawie
Ustawy o zwalczaniu nieuczciwej konkurencji
- ochronie w Banku podlega informacja objęta
tajemnicą przedsiębiorstwa. Przez tajemnicę
przedsiębiorstwa rozumie się nie ujawnione
do wiadomości publicznej informacje
techniczne, technologiczne, handlowe lub
organizacyjne przedsiębiorstwa, co do
których przedsiębiorca (w tym wypadku Bank)
podjął niezbędne działania w celu zachowania
ich poufności.
9
Podstawowe definicje i pojęcia
Grupy informacji chronionych
Tajemnice chronione prawem w Polsce
tajemnica autorska
tajemnica bankowa
tajemnica biegłego rewidenta
tajemnica doradcy podatkowego
tajemnica funduszy inwestycyjnych
tajemnica dziennikarska
tajemnica geologiczna
tajemnica handlowa
tajemnica kontroli państwowej
tajemnica ksiąg rachunkowych
tajemnica maklerska
tajemnica oświadczeń majątkowych
tajemnica pomocy społecznej
tajemnica pracodawcy
tajemnica przedsiębiorstwa
tajemnica pocztowa
tajemnica lekarska
tajemnica pielęgniarska
tajemnica aptekarska
tajemnica zdrowia psychicznego
tajemnica adwokacka
tajemnica komornika sądowego
tajemnica notarialna
tajemnica prokuratorska
tajemnica radcowska (radców prawnych)
tajemnica sędziowska (por. wyrokowanie)
tajemnica skarbowa
tajemnica spowiedzi
tajemnica statystyczna
tajemnica ubezpieczeń społecznych
tajemnica wojskowa
tajemnica wynalazcza
10
Dane osobowe
Wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest
osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w
szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub
kilka specyficznych czynników
określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą
określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów,
czasu lub działań.
11
Podstawowe definicje i pojęcia
Bezpieczeństwo informacji
12
Podstawowe definicje i pojęcia
Informacja może być przetwarzana na różnych typach nośników (m.in. papierowych,
magnetycznych, optycznych itp.), w szczególności w systemach informatycznych.
INFORMACJA
NOŚNIK
+ Nośniki tradycyjne
Nośniki elektroniczne
Człowiek
13
Podstawowe definicje i pojęcia
Bezpieczeństwo informacji, a tym samym i bezpieczeństwo IT to zachowanie
poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod
uwagę inne własności, takie jak autentyczność, rozliczalność,
niezaprzeczalność i niezawodność.
Bezpieczeństwo informacji to zachowanie:
Właściwość, że informacja
nie jest udostępniana lub
wyjawiana
nieupoważnionym osobom,
podmiotom lub procesom.
POUFNOŚĆ
Właściwość zapewnienia
dokładności i
kompletności aktywów.
INTEGRALNOŚĆ
Właściwość bycia
dostępnym i użytecznym
na żądanie uprawnionego
podmiotu.
DOSTĘPNOŚĆ
14
Możliwe zabezpieczenia
Problemy
Identyfikacja zasobów – co chronić i jak? - dane systemowe, informacje?
Identyfikacja zagrożeń – przed czym chronić? - utrata danych, dostęp osób nieupoważnionych, możliwe ataki socjotechniczne
Identyfikacja podatności – gdzie są słabe punkty? - brak procedur, brak procesu zarządzania dokumentacją, brak ochrony, brak redundancji (sprzętowej i osobowej)
Rozwiązania
Bezpieczny dostęp do dokumentów z danymi
Odpowiedni poziom poufności danych
Odpowiedni poziom uprawnień do dokumentów
Odpowiedni poziom ryzyka niezgodności
15
Bezpieczeństwo dokumentów
Klasyfikacja
Poufność
Integralność
Dostępność
Uwierzytelnienie
Niepodważalność
Wiarygodność
Audytowalność
16
Wybrane referencje Alfresco
17
Wybrane referencje Alfresco
18
Kontakt
Dariusz Romańczuk
Konsultant
www.bcmg.pl