POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.

Slides:



Advertisements
Podobne prezentacje
Kompleksowe zarządzanie bezpieczeństwem informacji
Advertisements

Michał Sztąberek iSecure Sp. z o.o.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO - PEFS
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Ochrona danych osobowych
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Wstęp do interpretacji algorytmów
Aktualne zagadnienia prawne.
„Ochrona osób, mienia, obiektów i obszarów”
Formalna definicja systemu informatycznego
BEZPIECZEŃSTWO PLACU ZABAW I GIER
Szkolenie w zakresie ochrony danych osobowych
Prawodawstwo w zakresie gospodarki odpadami
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
PAŃSTWOWA INSPEKCJA SANITARNA
Szkolenie dla nowych podmiotów – aplikacje w kontraktowaniu na lata Lubuski Oddział Wojewódzki NFZ w Zielonej Górze wrzesień 2010.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Sieciowe Systemy Operacyjne
Usługi BDO - odpowiedź na realne potrzeby rynku
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Narzędzie wspierające zarządzanie organizacj Parentis Sp. z o. o
Zasady przetwarzania danych do PEFS Katowice, r.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych i informacji niejawnych
Zgłaszanie prac geodezyjnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
ETAPY WDROŻENIE SYSTEMU ELEKTRONICZNEGO ZARZĄDZANIA DOKUMENTACJĄ
Przygotowali: Anna Farion Dariusz Droździel
Ergonomia procesów informacyjnych
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Ul. Basztowa 22, Kraków tel , fax NIEODPŁATNA POMOC PRAWNA [ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej.
Moduł e-Kontroli Grzegorz Dziurla.
Dokumenty jako dowód w postępowaniu administracyjnym
Wstęp do interpretacji algorytmów
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Kontrola zarządcza w jednostce budżetowej
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Dziękuję za uwagę Pomoc techniczna PROW 2014 – 2020 Koszty kwalifikowalne – informacje ogólne - proj. rozp. MRiRW w spr. szczegółowych warunków i trybu.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
Zasady zgłaszania innowacji pedagogicznej w kontekście
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Konstytucyjny system źródeł prawa
TRANSPORTOWY DOZÓR TECHNICZNY
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
OBOWIĄZKI ZARZĄDCÓW CMENTARZY PORADNIK
Zapis prezentacji:

POLITYKA BEZPIECZEŃSTWA

Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Pojęcie „polityka bezpieczeństwa”: zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych.

Cel polityki bezpieczeństwa: wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

UWZGLĘDNIĆ:

1. dokument powinien wyjaśniać co to jest polityka bezpieczeństwa, jej cel i znaczenie;

2. dokument powinien być zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom;

3. dokument powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji;

4. zasady postępowania określone w dokumencie powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania;

5. dokument musi uwzględniać wymogi określone w § 4 rozporządzenia w sprawie dokumentacji.

WSKAZÓWKI PRAKTYCZNE

Zacząć od części ogólnej, w której: 1. wyjaśnić co to są dane osobowe; 2. wyjaśnić dlaczego należy je chronić; 3. wyjaśnić, że polityka bezpieczeństwa została opracowana w celu ochrony danych;

4. wyjaśnić co to jest polityka bezpieczeństwa; 5. określić bezpieczeństwo danych jako jeden z priorytetów kierownictwa; 6. zobowiązać podwładnych do zapoznania się i przestrzegania zarówno polityki bezpieczeństwa, jak i wszelkich instrukcji i zarządzeń w tym zakresie.

Następnie część szczegółowa należy uwzględnić wszystkie elementy §4 rozporządzenia w sprawie dokumentacji:

1.Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (§ 4 pkt. 1 rozporządzenia)

Uwzględnić wszelkie obiekty i pomieszczenia, gdzie: - dokonuje się przetwarzania (jakiekolwiek operacje) - przechowuje się dowolne nośniki informacji zawierające dane osobowe (uwzględniamy m.in.: szafy z dokumentacją „papierową”, pomieszczenia, gdzie składowane są uszkodzone nośniki, a nawet miejsce w sejfie bankowym, archiwum, itp.).

UWAGA: gdy dane osobowe przetwarzane są w systemie informatycznym, do którego dostęp poprzez sieć telekomunikacyjną posiada wiele podmiotów, wówczas w polityce bezpieczeństwa informacje o tych podmiotach (nazwa podmiotu, siedziba, pomieszczenia, w których przetwarzane są dane), powinny być również wymienione jako obszar przetwarzania danych.

2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (§ 4 pkt. 2 rozporządzenia)

Identyfikujemy: - wszystkie zbiory danych osobowych; - wszystkie systemy informatyczne używane do ich przetwarzania; - wszystkie programy używane do przetwarzania.

Wykaz ten powinien zawierać informacje w zakresie precyzyjnej lokalizacji miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej itp.), w których znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania.

3.Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt. 3 rozporządzenia)

Określamy: - jak zbiór jest zbudowany (elementy); - jakie kategorie danych znajdują się w poszczególnych polach informacyjnych.

UWAGA: należy pamiętać, kiedy dane są traktowane jako osobowe (zwłaszcza, gdy zbiór ma charakter rozproszony)!

Przykład: Struktura zbioru zawierającego informacje o klientach, zamówieniach i produktach: Dane adresowe klienta: [identyfikator klienta, imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania)] Zamówienia klienta: [identyfikator zamówienia, identyfikator klienta, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia, data odbioru] Sprzedawane towary: [identyfikator towaru, nazwa towaru, nazwa producenta, data produkcji]

W przypadku takich zbiorów należy wskazać relacje istniejące między grupami danych identyfikując w ten sposób pełny zakres danych osobowych, jakie przetwarzane są w określonym zbiorze. Opis struktury zbiorów powinien być przedstawiony w sposób czytelny i zrozumiały.

4.Sposób przepływy danych pomiędzy systemami (§ 4 pkt. 4 rozporządzenia)

Należy wskazać: - zakres przesyłanych danych, - podmiot lub kategorie podmiotów, do których dane są przekazywane - ogólne informacje na temat sposobu przesyłania danych (Internet, poczta elektroniczna, inne rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji.

-sposób współpracy pomiędzy różnymi systemami informatycznymi - jakie istnieją pomiędzy danymi zgromadzonymi w zbiorach do przetwarzania których, systemy te są wykorzystywane. (Co do dwóch ostatnich kwestii, patrz: punkt 3).

5.Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych (§ 4 pkt. 5 rozporządzenia)

poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

integralności danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

rozliczalności — rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. (§2 rozporządzenia w sprawie dokumentacji)

PO PIERWSZE należy przeprowadzić wnikliwą analizę zagrożeń związanych z przetwarzaniem danych osobowych. PO DRUGIE określamy środki, które pozwalają usunąć lub przynajmniej zminimalizować zagrożenia.

Każde zagrożenie powinno być zidentyfikowane i powinny być do niego przypisane konkretne środki przeciwdziałania. Można zastosować zarówno środki techniczne, jak i organizacyjne.

---- Typowe środki techniczne: stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall), itp.

---- Typowe środki organizacyjne: stosowanie mechanizmów uwierzytelniania, opracowanie procedur przechowywania i niszczenia kopii zapasowych, dostępu do pomieszczeń gdzie przetwarza się dane, zachowań w przypadku zagrożeń itd.

Administrator sam wybiera konkretne środki, które uznaje za adekwatne do zagrożeń. Rozliczany jest za ich skuteczność.

INSTRUKCJA

Podstawa prawna: §3 i § 5 rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i orga­nizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Nazwa: instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Wymogi ogólne:

- instrukcja powinna być zatwierdzona przez administratora danych i przyjęta do stosowania, jako obowiązujący dokument;

- zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności;

- w treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, ich lokalizacja, zastosowane rozwiązania techniczne, jak również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;

- instrukcja musi uwzględniać wymogi określone w §5 rozporządzenia w sprawie dokumentacji.

WSKAZÓWKI PRAKTYCZNE Zacząć od części ogólnej, w której należy:

1. wskazać podstawę prawną;

2. określić wyraźnie jako cel realizację obowiązków nałożonych przez ustawę o ochronie danych osobowych i rozporządzenie w sprawie dokumentacji (w szczególności art. 36 ustawy i § 3 rozporządzenia);

3. zobowiązać podwładnych do przestrzegania postanowień instrukcji.

Następnie części szczegółowa oparta na §5 rozporządzenia w sprawie dokumentacji:

1.Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (§ 5 pkt. 1 rozporządzenia)

OKREŚLIĆ BARDZO PRECYZYJNIE: - zasady przyznawania użytkownikowi identyfikatora w systemie informatycznym

-zasady nadawania lub modyfikacji uprawnień użytkownika do zasobów systemu informatycznego, w tym: a. zasady tworzenia użytkownikowi konta, b. zasady usunięcia konta z systemu informatycznego, c. zasady postępowania z hasłami użytkowników uprzywilejowanych, d. zasady administrowania systemem informatycznym w przypadkach awaryjnych, np. nieobecności administratora.

KONIECZNIE: wskazać osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie informatycznym.

2. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem (§ 5 pkt. 2 rozporządzenia)

DWIE PODSTAWOWE SPRAWY: - określenie trybu przydzielania i zmiany haseł, - wskazać osoby odpowiedzialne za przydział haseł.

KONIECZNIE UWZGLĘDNIĆ: - pkt. IV.2 lub pkt. VII załącznika do rozporządzenia w sprawie dokumentacji (tam zasady dotyczące struktury haseł); - hasła w systemie informatycznym powinny być przechowywane w postaci zaszyfrowanej;

-w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika (np. kart mikroprocesorowych, metod biometrycznych, itd.) w instrukcji powinny być zawarte wytyczne w zakresie ich stosowania.

3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu (§ 5 pkt. 3 rozporządzenia)

PRECYZYJNIE WSKAZAĆ: kolejne czynności, jakie należy wykonać, zwłaszcza: - w celu uruchamiania systemu informatycznego, - w sytuacji tymczasowego zaprzestania pracy, - w procesie wykonania operacji wyrejestrowania się, - w sytuacji podejrzenia naruszenia bezpieczeństwa.

4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt. 4 rozporządzenia)

OKREŚLAMY - metody i częstotliwość tworzenia kopii zapasowych, - dla jakich danych wykonywane będą kopie zapasowe, - typ nośników, na których kopie będą wykonywane - narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane.

Trzeba też opracować harmonogram określający: - terminy wykonywania kopii zapasowych dla poszczególnych zbiorów danych, - okresy rotacji - całkowity czas użytkowania poszczególnych nośników danych.

Należy też określić procedury likwidacji nośników zawierających kopie zapasowe danych, które nie są już potrzebne lub zostały uszkodzone (patrz: pkt. VI ust. 1 załącznika do rozporządzenia w sprawie dokumentacji).

5. Sposób, miejsce i okres przechowywania: A. elektronicznych nośników informacji zawierających dane osobowe, B. kopii zapasowych, o których mowa w pkt. 4 (§5 pkt. 5 rozporządzenia)

1.wskazujemy pomieszczenia, przeznaczone do przechowywania nośników informacji, 2. wskazujemy sposób zabezpieczenia tych nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem (patrz: pkt. IV ust. 4a i 4b załącznika do rozporządzenia w sprawie dokumentacji).

UWAGA: gdy przekazujemy nośniki informacji podmiotom zewnętrznym w celu ich przechowywania należy określić procedury przekazywania oraz wskazać metody zabezpieczania nośników podczas transportu (przekazywania).

6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (§ 5 pkt. 6 rozporządzenia).

NALEŻY: - określić obszary systemu informatycznego narażone na ingerencję, - wskazać możliwe źródła przedostania się szkodliwego oprogramowania, - określić działania, jakie należy podejmować, aby minimalizować możliwość zainstalowania się takiego oprogramowania.

Użytkownicy muszą zostać: - zaznajomieni z zastosowanym oprogramowaniem antywirusowym, - pouczeni co do swych obowiązków w zakresie jego prawidłowego działania, - przeszkoleni co do zachowania w przypadku zagrożenia, - poinformowani kto jest osobą odpowiedzialną za zarządzanie tym oprogramowaniem.

7. Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia (§ 5 pkt. 7 rozporządzenia)

§7.1.4 rozporządzenia w sprawie dokumentacji wymaga by, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnił odnotowanie informacji o udostępnieniach danych

ZAKRES: - kto był odbiorcą, - data udostępnienia, - zakres udostępnienia.

System informatyczny powinien umożliwiać odnotowanie powyższych informacji. W instrukcji określamy sposób oraz formę odnotowania, ALE NIE JEST WYSTARCZAJĄCE ODNOTOWANIE TYCH INFORMACJI W FORMIE PAPIEROWEJ !!! (byłoby to niezgodne z przedstawioną w ustawie o ochronie danych osobowych definicją systemu informatycznego).

WYJĄTKI: - gdy system informatyczny służy wyłącznie do edycji tekstu w celu udostępnienia go na piśmie; - gdy mamy do czynienia ze zbiorami jawnymi. (UWAGA: wtedy nie trzeba realizować wymogu z § 5 pkt. 7 rozporządzenia, wszystkie pozostałe realizować trzeba!).

UWAGA system informatyczny powinien ponadto umożliwiać odnotowanie następujących informacji: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane; 3) źródła danych; 4) skorzystania przez zainteresowanego z prawa sprzeciwu.

WYJĄTEK TAKI SAM: gdy system informatyczny służy wyłącznie do edycji tekstu w celu udostępnienia go na piśmie.

System informatyczny musi zapewnić odnotowanie wszystkich powyższych informacji, jednak nie musi to być uwzględnione w Instrukcji.

8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych (§ 5 pkt. 8 rozporządzenia)

- należy określić cel, zakres, częstotliwość oraz procedury wykonywania przeglądów i konserwacji systemu informatycznego,

Należy też wskazać podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji systemu informatycznego. Jeżeli czynności powyższe wykonywane są przez osoby nie posiadającym upoważnień do przetwarzania danych należy określać sposób, w jaki czynności te będą nadzorowane (patrz: pkt. VI ust. 3 załącznika do rozporządzenia w sprawie dokumentacji).

koniec