Rozporządzenie dot. zabezpieczania danych informatycznych

Do naszej redakcji trafił projekt rozporządzenia Ministra Sprawiedliwości (datowany na 3 marca br) w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych.

Rozporządzenie zostało opracowane w porozumieniu z Ministrem Infrastruktury, Ministrem Obrony Narodowej oraz Ministrem Spraw Wewnętrznych i Administracji a ma wejść w życie z dniem 1 maja 2004.

Sposób technicznego przygotowania systemów i sieci służących do gromadzenia wykazów przekazów informacji i zabezpieczenia danych zapisanych.

Przygotowanie systemów i sieci służących do przekazywania informacji, zwanych dalej "systemami i sieciami", do gromadzenia wykazów przekazów informacji polega na zapewnieniu przez podmiot obowiązany technicznych możliwości sporządzania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych, zapewniających, niezwłocznie w ciągu całej doby:

wprowadzanie przez podmiot obowiązany danych

sporządzanie wykazów przekazów informacji

zabezpieczenie danych zapisanych w taki sposób, aby nie uległy one utracie lub zniekształceniu

dostęp do danych identyfikujących urządzenia i sposób zabezpieczenia danych zapisanych

Wymagania, jakim powinni odpowiadać pracownicy urzędów, instytucji oraz podmiotów prowadzących działalność telekomunikacyjną, wykonujący zadania w zakresie sporządzania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych.

Udział pracowników podmiotów obowiązanych w realizowaniu zadań, wymaga posiadania przez nich poświadczenia bezpieczeństwa wydanego na zasadach określonych w przepisach o ochronie informacji niejawnych i nie może naruszać ustawowych praw i obowiązków uprawnionego podmiotu realizującego zadanie oraz powinien być ograniczony do niezbędnego minimum.

Sposób w jaki powinny być realizowane czynności związane z wykonywaniem postanowień w przedmiocie wydania wykazów przekazów informacji i zabezpieczenia danych zapisanych, a także związane z nimi doręczenia. Założono, że czynności te będą realizowane w sposób przewidziany dla przekazywania wiadomości, na które rozciąga się obowiązek ochrony informacji niejawnych stanowiących tajemnicę służbową.

Czynności związane z wykonywaniem postanowień w przedmiocie wydania wykazów przekazów informacji oraz zabezpieczenia danych zapisanych, a także związane z nimi doręczenia, powinny być realizowane w sposób przewidziany dla przekazywania wiadomości, na które rozciąga się obowiązek ochrony informacji niejawnych stanowiących tajemnicę służbową.

Określenie obowiązku gromadzenia przez podmiot obowiązany danych związanych z zabezpieczonymi przekazami informacji.

Podmiot obowiązany gromadzi dane związane z zabezpieczonymi przekazami informacji:

identyfikujące abonentów i użytkowników uczestniczących w połączeniu, ze wskazaniem strony inicjującej połączenie oraz wszystkich uczestników połączenia konferencyjnego, a także ich lokalizację, wraz z kategorią połączenia zgodnie z kryteriami stosowanymi w systemie lub sieci

dotyczące daty oraz czasu rozpoczęcia i zakończenia połączenia oraz czasu jego trwania

dotyczące niepełnych lub niezrealizowanych połączeń

dotyczące przeniesień, przekierowań, dostępu do poczty głosowej, połączeń zwrotnych, połączeń do zlecania i realizacji usług sieciowych, modyfikacji i włączania funkcji sieciowych, zmiany kodów i numerów.

Sposób zabezpieczenia przekazów informacji.

Zabezpieczenia danych zapisanych dokonuje się przy użyciu środków technicznych, w sposób umożliwiający ich późniejsze odtworzenie przy użyciu standardowych urządzeń odtwarzających.

Zabezpieczenia dokonuje osoba upoważniona przez podmiot obowiązany, przy użyciu własnych środków technicznych, w urządzeniach zawierających te dane, albo w systemie lub nośniku informatycznym.

Zabezpieczone dane zapisane podlegają skopiowaniu na standardowy nośnik umożliwiający ich odtworzenie, zwany dalej "nośnikiem".

Osoba dokonująca skopiowania danych zapisanych zapisuje lub oznacza na nośniku:

sygnaturę akt sprawy, w której czynność ta została zlecona

swoje imię, nazwisko i stanowisko służbowe

dane dotyczące podstawy zabezpieczenia

czas dokonania zabezpieczenia

Podmiot obowiązany zapewnia osobie upoważnionej możliwość zabezpieczenia danych zapisanych w sposób uniemożliwiający zapoznanie się przez tę osobę z ich treścią.

W przypadku szyfrowania danych zapisanych przez podmiot obowiązany, podmiot ten udostępnia dane zapisane uprawnionym podmiotom w formie niezaszyfrowanej.

Z czynności zabezpieczenia danych zapisanych, osoba upoważniona do jej przeprowadzenia sporządza notatkę urzędową, w której zamieszcza:

datę i miejsce sporządzenia notatki oraz sygnaturę akt sprawy

swoje imię, nazwisko i stanowisko służbowe

oznaczenie czynności ze wskazaniem podstawy jej przeprowadzenia

imię i nazwisko użytkownika systemu lub sieci albo nazwę podmiotu będącego użytkownikiem oraz dane identyfikujące urządzenie zawierające dane zapisane, które podlegają zabezpieczeniu, a także, w miarę możności, dane identyfikujące urządzenia, z którymi dokonywane były połączenia

czas dokonania zabezpieczenia danych zapisanych

dane pozwalające na identyfikację nośnika zawierającego dane zapisane

w miarę potrzeby inne dane dotyczące dokonywanej czynności

Wymagania jakie musi spełnić urząd, instytucja oraz podmiot prowadzący działalność telekomunikacyjną rejestrujący fakt dokonania zabezpieczenia przekazów informacji.

Podmiot obowiązany zapewnia rejestrację faktu dokonanego zabezpieczenia danych zapisanych, gromadząc dane o dokonanych zabezpieczeniach.

Dane obejmują:

sygnaturę akt sprawy i datę wydania postanowienia sądu lub prokuratora

datę dokonania zabezpieczenia

informację o podmiocie uprawnionym

imię i nazwisko użytkownika systemu lub sieci albo nazwę podmiotu będącego użytkownikiem, w stosunku do którego zarządzono zabezpieczenie danych zapisanych

czas trwania zabezpieczenia

typ nośnika, na którym zostały zapisane dane zabezpieczone

Gromadzenie, przechowywanie i udostępnianie danych, odbywa się przy zastosowaniu przepisów dotyczących ochrony informacji niejawnych stanowiących tajemnicę służbową.

Sposób przechowywania danych zabezpieczonych

Zabezpieczone dane zapisane oraz nośnik przechowuje się w warunkach zabezpieczających przed utratą lub zniekształceniem tych danych albo zniszczeniem lub uszkodzeniem nośnika, zwłaszcza przed szkodliwym działaniem środków chemicznych, czynników mechanicznych, temperatury, promieniowania, pola magnetycznego lub elektrycznego.

Sposób postępowania z danymi zwolnionymi spod zabezpieczenia.

Zabezpieczone dane zapisane, zwolnione spod zabezpieczenia przez podmiot uprawniony, na podstawie art. 218a § 2 Kodeksu postępowania karnego, w zakresie, w jakim zostały zwolnione, podlegają niezwłocznemu udostępnieniu osobie, w stosunku do której zarządzono zabezpieczenie tych danych.

Z czynności udostępnienia danych zapisanych sporządza się protokół.

Sposób niszczenia danych zabezpieczonych.

Zapis zabezpieczonych danych zapisanych, które sąd zwolnił spod zabezpieczenia na podstawie art. 218a § 2 Kodeksu postępowania karnego, podlega usunięciu w sposób trwale uniemożliwiający jego odtworzenie.

Jeżeli mimo usunięcia zapisu zachodzi możliwość jego odtworzenia, należy zarządzić fizyczne zniszczenie nośnika.

---

Projektowane rozporządzenie nie powinno wpłynąć na rynek pracy, konkurencyjność wewnętrzną i zewnętrzną gospodarki, a także na sytuację i rozwój regionalny. Przedmiot projektowanej regulacji nie jest objęty zakresem prawa Unii Europejskiej.

Z uwagi na brak miarodajnych danych nie jest jednak możliwe oszacowanie, nawet przybliżone przeciętnych kosztów jednego zabezpieczenia przekazów informacji, a w konsekwencji oszacowanie skutków finansowych dla budżetu państwa.