Czy możliwe jest spełnienie wszystkich regulacji prawnych jednym kliknięciem? Dariusz Romańczuk BCMG sp. z o.o. wspólnie z BMS sp. z o.o.

1. Czy można spełnić wszystkie regulacje prawne jednym
kliknięciem?

2. 2
Sektorowe wymagania prawne
 Ustawy zaczynamy czytać od …

3. 3
Sektor bankowy
 Ustawa z dnia 29 sierpnia 1997 r. – Prawo
bankowe (Dz. U. z 2002 r. Nr 72, poz. 665, z
późn. zm).
 Ustawa z dnia 16 listopada 2000 r. o
przeciwdziałaniu praniu pieniędzy oraz
finansowaniu terroryzmu (tekst jedn. Dz.U.
z 2010 r. nr 46, poz. 276 z późn. zm.).
 Rekomendacja M znowelizowana 8 stycznia
2013 roku – stanowi zbiór zasad dobrej
praktyki w zakresie ostrożnego i stabilnego
zarządzania ryzykiem operacyjnym w
bankach.
 Rekomendacja D znowelizowana 8 stycznia
2013 roku – dotyczy zarządzania obszarami
technologii informacyjnej i bezpieczeństwa
środowiska teleinformatycznego w
bankach.

4. 4
Tajemnica bankowa
 Zgodnie z treścią art. 104 ust. 1
banki, osoby w nich zatrudnione i
osoby, za których pośrednictwem
bank wykonuje czynności bankowe,
są zobowiązane zachować
tajemnicę bankową obejmującą
wszystkie informacje dotyczące
czynności bankowej uzyskane w
trakcie negocjacji, w trakcie
zawierania i realizacji umowy, na
podstawie której bank tę czynność
wykonuje.

5. 5
Podstawowe definicje i pojęcia
– Rekomendacja M
Pojęcie bezpieczeństwa informacji
zdefiniowane w Rekomendacji M:
 4.23. - Konstrukcja procesów w banku
powinna zapewniać bezpieczeństwo
informacji związanych z prowadzoną
działalnością.
 4.24. - Zakłócenia w przepływie,
przetwarzaniu lub przechowywaniu
informacji (m. in. występujących w formie
papierowej albo elektronicznej – a także
posiadanych przez pracowników, ale nie
zarejestrowanych w żadnej formie) mogą
prowadzić do znaczących strat
operacyjnych w wymiarze finansowym, ale
mogą również mieć wpływ na reputację
banku i w konsekwencji powodować utratę
potencjalnych zysków.

6. Sektor telekomunikacyjny
 Ustawa prawo telekomunikacyjne
 warunki świadczenia usługi
powszechnej;
 warunki ochrony użytkowników
usług;
 warunki przetwarzania danych w
telekomunikacji i ochrony tajemnicy
telekomunikacyjnej;
Spółki telekomunikacyjne podejmują
działania, aby lepiej chronić
wrażliwe informacje, korzystając z
usług zabezpieczeń elektronicznych
opartych na chmurze, takich jak
monitoring w czasie rzeczywistym i
narzędzie śledzenia zabezpieczeń.
6

7. Sektor medyczny
 Ustawa z dnia 15 kwietnia 2011 r. o
działalności leczniczej (Dz.U. z 2014 r. poz.
1626)
 Prowadzenie elektronicznej dokumentacji
medycznej (EDM)
 Rozporządzenie Ministra Zdrowia w
sprawie rodzajów i zakresu dokumentacji
medycznej oraz sposobu jej
przetwarzania z dnia 21 grudnia 2010 r.
(Dz.U. Nr 252, poz. 1697)
 Ustawa z dnia 6 listopada 2008 r. o
prawach pacjenta i Rzeczniku Praw
Pacjenta (Dz. U. z 2012 r. poz. 159 i 742)
 Ustawa z dnia 18 lipca 2002 r. o
świadczeniu usług drogą elektroniczną
(Dz.U. z 2013 r. poz. 422)
7

8. 8
Podstawowe grupy informacji chronionych w firmach
 Dane osobowe – na podstawie Ustawy o
ochronie danych osobowych - ochronie w
Banku podlega informacja zawierająca dane
osobowe. Za dane osobowe uważa się
wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
 Tajemnica przedsiębiorstwa – na podstawie
Ustawy o zwalczaniu nieuczciwej konkurencji
- ochronie w Banku podlega informacja objęta
tajemnicą przedsiębiorstwa. Przez tajemnicę
przedsiębiorstwa rozumie się nie ujawnione
do wiadomości publicznej informacje
techniczne, technologiczne, handlowe lub
organizacyjne przedsiębiorstwa, co do
których przedsiębiorca (w tym wypadku Bank)
podjął niezbędne działania w celu zachowania
ich poufności.

9. 9
Podstawowe definicje i pojęcia
 Grupy informacji chronionych
Tajemnice chronione prawem w Polsce
 tajemnica autorska
 tajemnica bankowa
 tajemnica biegłego rewidenta
 tajemnica doradcy podatkowego
 tajemnica funduszy inwestycyjnych
 tajemnica dziennikarska
 tajemnica geologiczna
 tajemnica handlowa
 tajemnica kontroli państwowej
 tajemnica ksiąg rachunkowych
 tajemnica maklerska
 tajemnica oświadczeń majątkowych
 tajemnica pomocy społecznej
 tajemnica pracodawcy
 tajemnica przedsiębiorstwa
 tajemnica pocztowa
 tajemnica lekarska
 tajemnica pielęgniarska
 tajemnica aptekarska
 tajemnica zdrowia psychicznego
 tajemnica adwokacka
 tajemnica komornika sądowego
 tajemnica notarialna
 tajemnica prokuratorska
 tajemnica radcowska (radców prawnych)
 tajemnica sędziowska (por. wyrokowanie)
 tajemnica skarbowa
 tajemnica spowiedzi
 tajemnica statystyczna
 tajemnica ubezpieczeń społecznych
 tajemnica wojskowa
 tajemnica wynalazcza

10. 10
Dane osobowe
 Wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
 Osobą możliwą do zidentyfikowania jest
osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w
szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub
kilka specyficznych czynników
określających jej cechy fizyczne,
fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
 Informacji nie uważa się za umożliwiającą
określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów,
czasu lub działań.

11. 11
Podstawowe definicje i pojęcia
 Bezpieczeństwo informacji

12. 12
Podstawowe definicje i pojęcia
 Informacja może być przetwarzana na różnych typach nośników (m.in. papierowych,
magnetycznych, optycznych itp.), w szczególności w systemach informatycznych.
INFORMACJA
NOŚNIK
+
Nośniki tradycyjne
Nośniki elektroniczne
Człowiek

13. 13
Podstawowe definicje i pojęcia
 Bezpieczeństwo informacji, a tym samym i bezpieczeństwo IT to zachowanie
poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod
uwagę inne własności, takie jak autentyczność, rozliczalność,
niezaprzeczalność i niezawodność.
Bezpieczeństwo informacji to zachowanie:
Właściwość, że informacja
nie jest udostępniana lub
wyjawiana
nieupoważnionym osobom,
podmiotom lub procesom.
POUFNOŚĆ
Właściwość zapewnienia
dokładności i
kompletności aktywów.
INTEGRALNOŚĆ
Właściwość bycia
dostępnym i użytecznym
na żądanie uprawnionego
podmiotu.
DOSTĘPNOŚĆ

14. 14
Możliwe zabezpieczenia
 Problemy
 Identyfikacja zasobów – co chronić i jak? -
dane systemowe, informacje?
 Identyfikacja zagrożeń – przed czym
chronić? - utrata danych, dostęp osób
nieupoważnionych, możliwe ataki
socjotechniczne
 Identyfikacja podatności – gdzie są słabe
punkty? - brak procedur, brak procesu
zarządzania dokumentacją, brak ochrony,
brak redundancji (sprzętowej i osobowej)
 Rozwiązania
 Bezpieczny dostęp do dokumentów z
danymi
 Odpowiedni poziom poufności danych
 Odpowiedni poziom uprawnień do
dokumentów
 Odpowiedni poziom ryzyka niezgodności

15. 15
Bezpieczeństwo dokumentów
 Klasyfikacja
 Poufność
 Integralność
 Dostępność
 Uwierzytelnienie
 Niepodważalność
 Wiarygodność
 Audytowalność

16. 16
Wybrane referencje Alfresco

17. 17
Wybrane referencje Alfresco

18. 18
Kontakt
 Dariusz Romańczuk
 Konsultant
 Dariusz.romanczuk@bcmg.pl
 www.bcmg.pl