ABC ZABEZPIECZANIA DANYCH OSOBOWYCH-ŚRODKI TECHNICZNE I ORGANIZACYJNE

stocksnap_fsplfpqbcz

Nadawania/odwołania upoważnień do przetwarzania danych

Należy wskazać osoby odpowiedzialne za wnioskowanie o przyznanie, odwołanie upoważnienia, osoby odpowiedzialne za przygotowanie upoważnień, kto może podpisać (ADO może wyznaczyć osoby upoważnione do podpisywania upoważnień), kto prowadzi ewidencję upoważnień, kto przechowuje upoważnienia itd.

 

 

 

 

 

I. Obowiązki ASI (jeśli jest powołany), ABI (jeśli jest powołany), pełnomocnika ds. ochrony danych osobowych (jeśli jest powołany)

W tym punkcie określa się zakres obowiązków osób koordynujących przetwarzanie danych osobowych np. ASI, koordynatora.

Najważniejsze  obowiązki Administratora Bezpieczeństwa Informacji

  • organizacje bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych oraz rozporządzeń wykonawczych,
  • nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzegania zasad w niej określonych,
  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami  o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1,
  • prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
  • nadzór nad bezpieczeństwem danych osobowych.

II. Opis środków zabezpieczeń technicznych i organizacyjnych

Przykładowe zabezpieczenia techniczne:

  • zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi),
  • dane są przechowywane w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min,
  • dane są przechowywane w pomieszczeniu zabezpieczonym drzwiami  o podwyższonej odporności na włamanie – drzwi klasy C,
  • dane są przechowywane w pomieszczeniu, w którym okna  zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej,
  • pomieszczenia, w których przetwarzane są dane wyposażone są w system alarmowy przeciwwłamaniowy,
  • dostęp do pomieszczeń objęty jest systemem kontroli dostępu,
  • dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
  • dostęp do pomieszczeń  jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony,
  • dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez całą dobę jest nadzorowany przez służbę ochrony,
  • dane w formie papierowej przechowywane są w zamkniętej, niemetalowej/metalowej szafie lub sejfie, kopie zapasowe/archiwalne danych osobowych przechowywane są w zamkniętej niemetalowej/metalowej szafie lub sejfie,
  • pomieszczenia, w których przetwarzane są dane są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy,
  • dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
  • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena
  • zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity,
  • użyto system Firewall do ochrony dostępu do sieci komputerowej,
  • wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym,
  • zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych,
  • dostęp do danych osobowych w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  • zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do systemu służącego do przetwarzania danych,
  • zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

Przykładowe zabezpieczenia organizacyjne:

  • do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie,
  • prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,
  • została opracowana i wdrożona polityka bezpieczeństwa,
  • została opracowana i wdrożona instrukcja zarządzania systemem informatycznym,
  • osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
  • przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,
  • osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
  • kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco,
  • polityka czystego biurka,
  • polityka czystego ekranu,
  • polityka kluczy.

III. Postępowanie w przypadku naruszenia bezpieczeństwa danych (raport z naruszenia bezpieczeństwa)

Postępowanie (procedura) powinna być zrozumiała. Osoby powinny wiedzieć jak mają postępować w sytuacji podejrzenia zagrożenia dla poufności danych, np. gdy widzi, że dane w formie papierowej są zabezpieczone niewłaściwie lub podejrzewa, że ktoś może mieć nieuprawniony dostęp do danych w systemie informatycznym. Należy określić procedury postępowania na każdym etapie: osoby, która zauważyła problem, osoby która podejmuje działania prewencyjne i wyjaśniające oraz kierownika jednostki organizacyjnej działającego w imieniu ADO. Poniżej przedstawiam tabele opisującą przykładową zagrożenia oraz sposoby postępowania w przypadku naruszenia bezpieczeństwa:

Tabela form naruszenia ochrony danych osobowych przez osoby zatrudnione przy przetwarzaniu danych

FORMY NARUSZEŃ

SPOSOBY POSTĘPOWANIA

W ZAKRESIE WIEDZY

Ujawnianie sposobu działania aplikacji i systemu oraz jej zabezpieczeń osobom niepowołanym.

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić administratora bezpieczeństwa informacji.

Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej.
Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji.

W ZAKRESIE SPRZĘTU I OPROGRAMOWANIA

Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport
Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport.
Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych osobom nieuprawnionym. Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Samodzielne instalowanie jakiegokolwiek oprogramowania. Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport.
Modyfikowanie parametrów systemu i aplikacji. Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport.
Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Pouczyć osobę popełniającą wymienioną czynność o szkodliwości takiego działania. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport.

W ZAKRESIE DOKUMENTÓW I OBRAZÓW ZAWIERAJĄCYCH DANE OSOBOWE

Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. Zabezpieczyć dokumenty. Sporządzić raport.
Przechowywanie dokumentów niewłaściwie zabezpieczonych przed dostępem osób niepowołanych. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport.
Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport.
Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport.
Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane – sporządzić raport
Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Utrata kontroli nad kopią danych osobowych. Podjąć próbę odzyskania kopii. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.

W ZAKRESIE POMIESZCZEŃ I INFRASTRUKTURY SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Zabezpieczyć pomieszczenie. Powiadomić przełożonych. Sporządzić raport.
Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.

W ZAKRESIE POMIESZCZEŃ W KTÓRYCH ZNAJDUJĄ SIĘ KOMPUTERY CENTRALNE I URZĄDZENIA SIECI

Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.

 

Tabela zjawisk świadczących o możliwości naruszenia ochrony danych osobowych

FORMY NARUSZEŃ

SPOSOBY POSTĘPOWANIA

Ślady manipulacji przy układach sieci komputerowej lub komputerach. Powiadomić niezwłocznie administratora bezpieczeństwa informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych.
Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych.
Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania.
Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie administratora bezpieczeństwa informacji. Sporządzić raport.

W przypadku wystąpienia naruszenia sporządza się raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych

RAPORT

z naruszenia bezpieczeństwa zasad ochrony danych osobowych

w ……………………………………………………………………………….

1. Data: ………………………….

    (dd.mm.rr)

Godzina: …………………………………

(gg:mm)

2. Osoba powiadamiająca o zaistniałym zdarzeniu:

……………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………..

(imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)

3. Lokalizacja zdarzenia:

……………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………..

(np. nr pokoju, nazwa pomieszczenia)

4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:

………………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………………….

5. Przyczyny wystąpienia zdarzenia:

………………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………………….

6. Podjęte działania:

………………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………………….

7. Postępowanie wyjaśniające:

………………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………………….

 

Data i podpis Administratora Danych

……………………………………………………….

IV. Zasady udostępniania danych

Należy określić zasady udostępnienia danych  podmiotom, które są upoważnione do tego na podstawie przepisów prawa oraz innym podmiotom. Kiedy dane można udostępnić, kto może to zrobić, w jakiej formie dane są udostępniane, kto i jak odnotowuje informację o udostępnieniu.

 

POMAGAMY STWORZYĆ PRAWEM WYMAGANĄ DOKUMENTACJĘ  „na miarę”

 

Jeżeli macie Państwo  problemy z przygotowaniem dokumentacji przetwarzania danych osobowych (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnień, ewidencji upoważnień, umów powierzenia danych)  oferujemy usługi w tym zakresie.

Proponujemy pomoc na trzech poziomach:

–  weryfikacja bieżącej dokumentacji z naniesieniem uwag o błędach– poprawienie dokumentacji

– opracowanie i wdrożenie prawem wymaganej dokumentacji z zakresu ochrony danych osobowych 

– definiowanie i rejestracja zbiorów w GIODO (wypełnienie wniosku)

Klient otrzymuje finalnie „produkt” gotowy do wdrożenia (Politykę bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym).

Dokumentacja jest opracowywana w szczegółowy sposób, aby zapewnić jak najlepsze dopasowanie do profilu  działalności pod kątem przetwarzanych danych osobowych. Dedykowana dokumentacja wraz z wypełnieniem zapewnia spełnienie wszystkich wymogów ustawy o ochronie danych osobowych oraz rozporządzenia do art 39a niniejszej ustawy i przepisów wykonawczych.

Dokumentacja jest przygotowywana indywidualnie przy  udziale klienta, który musi udzielić wielu informacji i współpracować na każdym etapie tworzenia dokumentów.

NIE CHCESZ WYKONYWAĆ FUNKCJI ABI?

PRZEJĘCIE FUNKCJI ABI CZYLI KOMPLEKSOWY OUTSOURCING

Outsourcing funkcji administratora bezpieczeństwa informacji (ABI) to sprawdzona i akceptowana przez GIODO forma przejęcia obowiązków związanych z ochroną danych osobowych.

Na czym polega outsourcing ABI?

Przekazują Państwo zespołowi ekspertów wszystkie obowiązki, wymienione po nowelizacji w art. 36a ust. 2 Ustawy o ochronie danych osobowych, m.in. sprawozdawczość,  prowadzenie wewnętrznego jawnego rejestru, szkolenie pracowników, nadawanie i ewidencja upoważnień, opracowanie i aktualizacja dokumentacji.

Powierzenie wyspecjalizowanym osobom świadczenia funkcji zewnętrznego Administratora Bezpieczeństwa Informacji pozwoli Państwu na oszczędność kosztów i czasu oraz  gwarantuje opiekę opiekę prawną najwyższej jakości.

Pełnienie funkcji (lub wsparcie) administratora  bezpieczeństwa informacji (ABI) powołanego  na podstawie art. 36a i zgłoszonego do GIODO  (outsourcing ABI)

Zakres zadań obejmuje:

  • Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • Nadzór nad przestrzeganiem przepisów o ochronie danych osobowych oraz aktualizacja stanu zabezpieczeń w razie zmian organizacyjnych lub prawnych,
  • Opracowanie prawem wymaganej dokumentacji tj. Politykę Bezpieczeństwa Danych Osobowych oraz Instrukcję Zarządzania Systemem Informatycznym
  • Zarządzanie upoważnieniami, klauzulami poufności,  umowami powierzeniami, obowiązkami informacyjnymi oraz nadzorujemy dokumentację,
  • badanie zgodności z prawem przetwarzania danych osobowych przez Państwa „procesorów” danych osobowych,
  • Zgłaszanie w GIODO zbiory danych osobowych wrażliwych,
  • Organizujemy oraz prowadzimy szkolenia dla pracowników i kadry zarządzającej,
  • Prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych w organizacji wg ustalonych zasad.
  • Reprezentowanie zleceniodawcy w kontaktach z GIODO w zakresie kontroli
  • Pomoc w sytuacji wystąpienia incydentów naruszenia ochrony danych osobowych.
  • Konsultacje z zakresu ochrony danych osobowych.
  • udzielanie odpowiedzi na wszelkie pytania lub wątpliwości związane z ochroną danych osobowych w Państwa organizacji.

Bierzemy  na siebie wszystkie obowiązki związane z ochroną danych osobowych, a Państwo mogą skupić się na swojej głównej działalności.

Cena outsourcingu ABI

Cena usługi zależy od: liczby pracowników przetwarzających dane osobowe oraz liczby wykorzystywanych systemów informatycznych.