Rozporządzenie dot. zabezpieczania danych informatycznych
Do naszej redakcji trafił projekt rozporządzenia Ministra Sprawiedliwości (datowany na 3 marca br) w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji – do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych.
Rozporządzenie zostało opracowane w porozumieniu z Ministrem Infrastruktury, Ministrem Obrony Narodowej oraz Ministrem Spraw Wewnętrznych i Administracji a ma wejść w życie z dniem 1 maja 2004.
Sposób technicznego przygotowania systemów i sieci służących do gromadzenia wykazów przekazów informacji i zabezpieczenia danych zapisanych.
Przygotowanie systemów i sieci służących do przekazywania informacji, zwanych dalej „systemami i sieciami”, do gromadzenia wykazów przekazów informacji polega na zapewnieniu przez podmiot obowiązany technicznych możliwości sporządzania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych, zapewniających, niezwłocznie w ciągu całej doby:
wprowadzanie przez podmiot obowiązany danych
sporządzanie wykazów przekazów informacji
zabezpieczenie danych zapisanych w taki sposób, aby nie uległy one utracie lub zniekształceniu
dostęp do danych identyfikujących urządzenia i sposób zabezpieczenia danych zapisanych
Wymagania, jakim powinni odpowiadać pracownicy urzędów, instytucji oraz podmiotów prowadzących działalność telekomunikacyjną, wykonujący zadania w zakresie sporządzania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych.
Udział pracowników podmiotów obowiązanych w realizowaniu zadań, wymaga posiadania przez nich poświadczenia bezpieczeństwa wydanego na zasadach określonych w przepisach o ochronie informacji niejawnych i nie może naruszać ustawowych praw i obowiązków uprawnionego podmiotu realizującego zadanie oraz powinien być ograniczony do niezbędnego minimum.
Sposób w jaki powinny być realizowane czynności związane z wykonywaniem postanowień w przedmiocie wydania wykazów przekazów informacji i zabezpieczenia danych zapisanych, a także związane z nimi doręczenia. Założono, że czynności te będą realizowane w sposób przewidziany dla przekazywania wiadomości, na które rozciąga się obowiązek ochrony informacji niejawnych stanowiących tajemnicę służbową.
Czynności związane z wykonywaniem postanowień w przedmiocie wydania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych, a także związane z nimi doręczenia, powinny być realizowane w sposób przewidziany dla przekazywania wiadomości, na które rozciąga się obowiązek ochrony informacji niejawnych stanowiących tajemnicę służbową.
Określenie obowiązku gromadzenia przez podmiot obowiązany danych związanych z zabezpieczonymi przekazami informacji.
Podmiot obowiązany gromadzi dane związane z zabezpieczonymi przekazami informacji:
identyfikujące abonentów i użytkowników uczestniczących w połączeniu, ze wskazaniem strony inicjującej połączenie oraz wszystkich uczestników połączenia konferencyjnego, a także ich lokalizację, wraz z kategorią połączenia zgodnie z kryteriami stosowanymi w systemie lub sieci
dotyczące daty oraz czasu rozpoczęcia i zakończenia połączenia oraz czasu jego trwania
dotyczące niepełnych lub niezrealizowanych połączeń
dotyczące przeniesień, przekierowań, dostępu do poczty głosowej, połączeń zwrotnych, połączeń do zlecania i realizacji usług sieciowych, modyfikacji i włączania funkcji sieciowych, zmiany kodów i numerów.
Sposób zabezpieczenia przekazów informacji.
Zabezpieczenia danych zapisanych dokonuje się przy użyciu środków technicznych, w sposób umożliwiający ich późniejsze odtworzenie przy użyciu standardowych urządzeń odtwarzających.
Zabezpieczenia dokonuje osoba upoważniona przez podmiot obowiązany, przy użyciu własnych środków technicznych, w urządzeniach zawierających te dane, albo w systemie lub nośniku informatycznym.
Zabezpieczone dane zapisane podlegają skopiowaniu na standardowy nośnik umożliwiający ich odtworzenie, zwany dalej „nośnikiem”.
Osoba dokonująca skopiowania danych zapisanych zapisuje lub oznacza na nośniku:
sygnaturę akt sprawy, w której czynność ta została zlecona
swoje imię, nazwisko i stanowisko służbowe
dane dotyczące podstawy zabezpieczenia
czas dokonania zabezpieczenia
Podmiot obowiązany zapewnia osobie upoważnionej możliwość zabezpieczenia danych zapisanych w sposób uniemożliwiający zapoznanie się przez tę osobę z ich treścią.
W przypadku szyfrowania danych zapisanych przez podmiot obowiązany, podmiot ten udostępnia dane zapisane uprawnionym podmiotom w formie niezaszyfrowanej.
Z czynności zabezpieczenia danych zapisanych, osoba upoważniona do jej przeprowadzenia sporządza notatkę urzędową, w której zamieszcza:
datę i miejsce sporządzenia notatki oraz sygnaturę akt sprawy
swoje imię, nazwisko i stanowisko służbowe
oznaczenie czynności ze wskazaniem podstawy jej przeprowadzenia
imię i nazwisko użytkownika systemu lub sieci albo nazwę podmiotu będącego użytkownikiem oraz dane identyfikujące urządzenie zawierające dane zapisane, które podlegają zabezpieczeniu, a także, w miarę możności, dane identyfikujące urządzenia, z którymi dokonywane były połączenia
czas dokonania zabezpieczenia danych zapisanych
dane pozwalające na identyfikację nośnika zawierającego dane zapisane
w miarę potrzeby inne dane dotyczące dokonywanej czynności
Wymagania jakie musi spełnić urząd, instytucja oraz podmiot prowadzący działalność telekomunikacyjną rejestrujący fakt dokonania zabezpieczenia przekazów informacji.
Podmiot obowiązany zapewnia rejestrację faktu dokonanego zabezpieczenia danych zapisanych, gromadząc dane o dokonanych zabezpieczeniach.
Dane obejmują:
sygnaturę akt sprawy i datę wydania postanowienia sądu lub prokuratora
datę dokonania zabezpieczenia
informację o podmiocie uprawnionym
imię i nazwisko użytkownika systemu lub sieci albo nazwę podmiotu będącego użytkownikiem, w stosunku do którego zarządzono zabezpieczenie danych zapisanych
czas trwania zabezpieczenia
typ nośnika, na którym zostały zapisane dane zabezpieczone
Gromadzenie, przechowywanie i udostępnianie danych, odbywa się przy zastosowaniu przepisów dotyczących ochrony informacji niejawnych stanowiących tajemnicę służbową.
Sposób przechowywania danych zabezpieczonych
Zabezpieczone dane zapisane oraz nośnik przechowuje się w warunkach zabezpieczających przed utratą lub zniekształceniem tych danych albo zniszczeniem lub uszkodzeniem nośnika, zwłaszcza przed szkodliwym działaniem środków chemicznych, czynników mechanicznych, temperatury, promieniowania, pola magnetycznego lub elektrycznego.
Sposób postępowania z danymi zwolnionymi spod zabezpieczenia.
Zabezpieczone dane zapisane, zwolnione spod zabezpieczenia przez podmiot uprawniony, na podstawie art. 218a § 2 Kodeksu postępowania karnego, w zakresie, w jakim zostały zwolnione, podlegają niezwłocznemu udostępnieniu osobie, w stosunku do której zarządzono zabezpieczenie tych danych.
Z czynności udostępnienia danych zapisanych sporządza się protokół.
Sposób niszczenia danych zabezpieczonych.
Zapis zabezpieczonych danych zapisanych, które sąd zwolnił spod zabezpieczenia na podstawie art. 218a § 2 Kodeksu postępowania karnego, podlega usunięciu w sposób trwale uniemożliwiający jego odtworzenie.
Jeżeli mimo usunięcia zapisu zachodzi możliwość jego odtworzenia, należy zarządzić fizyczne zniszczenie nośnika.
Projektowane rozporządzenie nie powinno wpłynąć na rynek pracy, konkurencyjność wewnętrzną i zewnętrzną gospodarki, a także na sytuację i rozwój regionalny. Przedmiot projektowanej regulacji nie jest objęty zakresem prawa Unii Europejskiej.
Z uwagi na brak miarodajnych danych nie jest jednak możliwe oszacowanie, nawet przybliżone przeciętnych kosztów jednego zabezpieczenia przekazów informacji, a w konsekwencji oszacowanie skutków finansowych dla budżetu państwa.