Bezpieczeństwo informacji prawnik kancelaria
  • 19/05/2021

Bezpieczeństwo informacji – aspekty prawne. System zarządzania bezpieczeństwem informacji

Obecny rozwój technologiczny pozwala na masowe przetwarzanie informacji przez podmioty prywatne oraz organy państwowe. Niewątpliwą zaletą tej sytuacji jest możliwość szybkiego świadczenia usług oraz sprawnego realizowania zadań publicznych. Przedmiotem niniejszego wpisu będzie bezpieczeństwo informacji, jego prawne uwarunkowania oraz budowa systemów zarządzania bezpieczeństwem informacji.

Prawo a bezpieczeństwo informacji

Zapewnienie bezpieczeństwa informacji jest podstawowym zadaniem podmiotu przetwarzającego dane. Utrata informacji znacząco osłabia konkurencyjność i pozycję rynkową przedsiębiorstwa. Może one skutkować stratami finansowymi a także wizerunkowymi podmiotu przetwarzającego oraz innych osób. W przypadku instytucji państwowych bezpieczeństwo informacji jest kluczowe dla bezpieczeństwa wewnętrznego i zewnętrznego państwa oraz prawidłowego funkcjonowania jego organów. Mając na uwadze negatywne skutki ujawniania informacji wprowadzono liczne przepisy, które mają na celu ochronę danych. Regulacje te powinny skłaniać podmioty prywatne oraz organy państwa do możliwie najpełniejszego zabezpieczenia przetwarzanych informacji.

Ochrona danych osobowych

Najczęściej przetwarzanymi informacjami w obrocie prawnym są dane osobowe. Obowiązek zabezpieczenia danych osobowych wynika zarówno z przepisów prawa unijnego (RODO) jak i z przepisów prawa krajowego (Ustawy o ochronie danych osobowych).

Naruszenia przepisów związanych z przetwarzaniem danych osobowych skutkują nałożeniem na podmiot przetwarzający surowych kar administracyjnych. Niestety ani Rozporządzenie ani Ustawa nie wskazują konkretnych systemów mających zapewnić bezpieczeństwo informacji zawierających dane osobowe. RODO odsyła w tym zakresie do stanu wiedzy technicznej i kosztów wdrażania systemu. Ponadto należy wziąć pod uwagę charakter, zakres, kontekst i cel przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. RODO wskazuje środki techniczne i organizacyjne jedynie przykładowo i pozostawia podmiotowi przetwarzającemu dużą swobodę w doborze systemów zapewniających bezpieczeństwo informacji.

RODO zachęca także do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu przedmiotowego rozporządzenia. Zasady opracowywania i zatwierdzania kodeksów postępowania zawiera Ustawa o ochronie danych osobowych. Na stronie Prezesa UODO w Biuletynie Informacji Publicznej udostępnia się także wspomniane wyżej zatwierdzone kodeksy postępowania wraz z ich zmianami.

Akty prawne dotyczące ochrony danych osobowych

Złożone wnioski o zatwierdzenie kodeksów

Tajemnica zawodowa

Szczególną kategorią prawnie chronionej informacji są okoliczności objęte tajemnicą zawodową. Istnienie takiej kategorii danych wiąże się z wykonywaniem zawodów zaufania publicznego. Na przedstawicielach takich zawodów ciąży szczególny obowiązek zachowania tajemnicy z uwagi na wrażliwy charakter informacji, do których mają oni dostęp.

Wśród licznych tajemnic zawodowych znajdują się następujące: adwokacka, radcowska, tajemnica obrończa, notarialna, komornicza, dziennikarska, lekarska, biegłego rewidenta, doradcy podatkowego, rzecznika patentowego, rzeczoznawcy majątkowego, psychiatryczna czy bankowa. Osoby wykonujące zawód zaufania publicznego są zobowiązane do nieujawniania wszelkich informacji związanych z czynnościami wykonywanymi zawodowo (na przykład okoliczności związanych z udzielaniem pomocy prawnej lub medycznej). Tym samym są zobowiązane do jak najpełniejszego zabezpieczenia informacji przed dostępem osób trzecich lub ich zaginięciem. Za niedopełnienie tego obowiązku przedstawicielom zawodów zaufania publicznego grozi odpowiedzialność dyscyplinarna, a w skrajnych przypadkach odpowiedzialność karna.

Tajemnica przedsiębiorstwa

W obrocie gospodarczym znaczną wagę przywiązuje się do zachowania tajemnicy przedsiębiorstwa. Jej definicję zawiera Ustawa o zwalczaniu nieuczciwej konkurencji (dalej: uznk).

Tajemnica przedsiębiorstwa to informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności.

Oczywistym jest, że ewentualne ujawnienie i rozpowszechnienie informacji zawierającej tajemnicę przedsiębiorstwa stanowi realne zagrożenie dla podmiotu gospodarczego i może być przyczyną strat finansowych i wizerunkowych. Ustawodawca zakwalifikował ujawnienie, wykorzystanie lub pozyskanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa jako czyn nieuczciwej konkurencji. Zgodnie z art. 23 ust. 1-3 uznk ujawnienie, bezprawne uzyskanie lub wykorzystywanie we własnej działalności gospodarczej informacji stanowiącej tajemnicę przedsiębiorstwa podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ochrona informacji w Kodeksie karnym

Surowe sankcje za przestępstwa przeciwko ochronie informacji zawiera Kodeks karny (dalej: kk). Zgodnie z przepisami tego rozdziału czynami zabronionymi są między innymi: ujawnienie informacji niejawnej o klauzuli „ściśle tajne” i „tajne” oraz „poufne” i „zastrzeżone”, ujawnienie lub wykorzystanie informacji uzyskanej w związku z wykonywaną funkcją lub czynnościami służbowymi oraz bezprawne uzyskanie informacji.

Przesłanki nadania informacji klauzul „ściśle tajne”, „tajne”, „poufne” i „zastrzeżone” znajdują się w Ustawie o ochronie informacji niejawnych.

Należy zauważyć, iż inne przepisy kk dotyczą również ujawnienia lub wykorzystywania informacji uzyskanej w związku z wykonywaną funkcją lub czynnościami służbowymi.

Ustawa o ochronie informacji niejawnych

Rejestry publiczne i wymiana informacji w postaci elektronicznej. Minimalne wymagania dla systemów teleinformatycznych

Szczegółowe zapisy dotyczące minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych określa Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Wskazane rozporządzenie w § 20 ust. 1 i 2 zawiera sformułowane w sposób ogólny wymagania dotyczące systemu zarządzania bezpieczeństwem informacji podmiotu realizującego zadania publiczne. § 20 ust. 3 tego rozporządzenia wskazuje, że system zarządzania bezpieczeństwem informacji spełnia wymagania określone w § 20 ust. 1 i 2 jeżeli system został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich norm związanych z tą normą: PN-ISO/IEC 27002 w odniesieniu do ustanawiania zabezpieczeń, PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem i PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.

Omawiane rozporządzenie stanowi, że niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności

Polskie normy a bezpieczeństwo informacji

Wspomniane w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności Polskie normy zawierają wymagania, które powinien spełniać system zarządzania bezpieczeństwem informacji. Przepisy przedmiotowego rozporządzenia odsyłające do Polskich norm wiążą tylko podmioty realizujące zadania publiczne. Polskie normy są jednak powszechnie wykorzystywane także przez przedsiębiorców. Przyjmuje się, że zgodność systemów zarządzania bezpieczeństwem informacji z przedmiotowymi normami zapewnia ochronę przetwarzanych informacji przed kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami oraz zabezpiecza informacje w sposób uniemożliwiający nieuprawnionym osobom ich ujawnienie, modyfikacje, usunięcie lub zniszczenie.

Przykładowe polskie normy

1. Norma PN-ISO/IEC 27001. Dotyczy ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Norma porusza także zagadnienia szacowania ryzyka i postępowania z ryzykiem w bezpieczeństwie informacji. Na podstawie tej normy dokonuje się certyfikacji systemów zarządzania bezpieczeństwem informacji.

2. Norma PN-ISO/IEC 27002. Zawiera wytyczne dotyczące wyboru, wdrażania i zarządzania systemem zarządzania bezpieczeństwem informacji oraz rekomendacje stosowania zabezpieczeń objętych normą PN-ISO/IEC 27001. Przedmiotowa norma jest wykorzystywana przez podmioty, które wdrażają zarówno powszechnie wykorzystywane środki zabezpieczenia informacji jak i przez podmioty opracowujące własne zalecenia w tym zakresie.

3. Norma PN-ISO/IEC 27005. Określa dobre praktyki i wskazówki związane z planowaniem oraz wdrażaniem systemu zarządzania ryzykiem w bezpieczeństwie informacji.

4. Norma PN-ISO/IEC 24762. Jest to norma zarządzania ciągłością działania. Przez zarządzanie ciągłością działania należy rozumieć zdolność podmiotu do przewidywania i reagowania na zdarzenia, które mogą prowadzić do zakłóceń prowadzenia działalności gospodarczej. Zdolność ta ma na celu kontynuację prowadzenia działalności na określonym poziomie mimo tych zdarzeń.

Czym jest system zarządzania bezpieczeństwem informacji?

System zarządzania bezpieczeństwem informacji to zbiór dokumentów dotyczących zarządzania podmiotem (regulaminów, instrukcji, wytycznych), które regulują zasady ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia zabezpieczeń informacji. Celem systemu zarządzania bezpieczeństwem informacji jest ochrona poufności, dostępności i integralności danych przed zagrożeniami. Ponadto system taki ma służyć likwidacji wszelkich luk w zabezpieczeniach.

Polityki bezpieczeństwa

Na każdy system zarządzania bezpieczeństwem informacji powinny się składać elementy wskazane poniżej.

1. Polityka bezpieczeństwa personalnego. Są to zasady związane z rekrutacją pracowników, nawiązywaniem współpracy, przeprowadzaniem szkoleń, zarządzaniem wiedzą zespołu, nadzorem nad czynnościami pracowników. Generalnie rzecz ujmując, polityka bezpieczeństwa personalnego dotyczy zarządzania zasobami ludzkimi.

2. Polityka bezpieczeństwa fizycznego. Czyli zestaw norm, których celem jest ochrona pomieszczeń, sprzętu oraz personelu przed katastrofami naturalnymi czy przestępstwami. Przykładem norm regulujących kwestię bezpieczeństwa fizycznego są instrukcje ruchu osób, pojazdów lub materiałów.

3. Polityka bezpieczeństwa informacji. W jej ramach możemy wyróżnić kilka polityk bezpieczeństwa. Jako przykład można wskazać polityki informacji niejawnych, tajemnic przedsiębiorstwa, danych osobowych, systemów teleinformatycznych oraz instrukcje zarządzania systemami teleinformatycznymi.

4. Polityka ciągłości działania. Czyli zbiór dokumentów opisujących sposób funkcjonowania elementów organizacji zarządzania kryzysowego. Na politykę ciągłości działania składają się: regulamin ciągłości działania, plan ciągłości działania, procedury, instrukcje oraz scenariusze sytuacyjne. Polityka ciągłości działania określa między innymi sposoby powiadamiania pracowników o kryzysowej sytuacji, metody ewakuacji budynków, rekonstrukcję urządzeń teleinformatycznych.

Podsumowanie

Nie ulega wątpliwości, że bezpieczeństwo informacji decyduje o sukcesie przedsiębiorstwa a także wpływa na skuteczną realizację zadań przez organy państwowe. Zwiększająca się liczba przetwarzanych danych oraz nowe akty prawne regulujące tę kwestię skłaniają do tworzenia certyfikowanych systemów zarządzania bezpieczeństwem informacji. Istotne jest również stworzenie skutecznie działających procedur zapewniających bezpieczeństwo informacji. W związku z tym zachęcamy do tworzenia dokumentacji zabezpieczającej Państwa dane oraz do korzystania z pomocy radcy prawnego.

Kontakt

Tagi:
Poprzedni wpisWłaściwość miejscowa sądów rejonowych i prokuratur rejonowych – Poznań i powiat poznański
Następny wpisWszczęcie postępowania karnoskarbowego a podatkowe przedawnienie
Powiązane wpisy