Nadawania/odwołania upoważnień do przetwarzania danych
Należy wskazać osoby odpowiedzialne za wnioskowanie o przyznanie, odwołanie upoważnienia, osoby odpowiedzialne za przygotowanie upoważnień, kto może podpisać (ADO może wyznaczyć osoby upoważnione do podpisywania upoważnień), kto prowadzi ewidencję upoważnień, kto przechowuje upoważnienia itd.
W tym punkcie określa się zakres obowiązków osób koordynujących przetwarzanie danych osobowych np. ASI, koordynatora.
Najważniejsze obowiązki Administratora Bezpieczeństwa Informacji
Przykładowe zabezpieczenia techniczne:
Przykładowe zabezpieczenia organizacyjne:
Postępowanie (procedura) powinna być zrozumiała. Osoby powinny wiedzieć jak mają postępować w sytuacji podejrzenia zagrożenia dla poufności danych, np. gdy widzi, że dane w formie papierowej są zabezpieczone niewłaściwie lub podejrzewa, że ktoś może mieć nieuprawniony dostęp do danych w systemie informatycznym. Należy określić procedury postępowania na każdym etapie: osoby, która zauważyła problem, osoby która podejmuje działania prewencyjne i wyjaśniające oraz kierownika jednostki organizacyjnej działającego w imieniu ADO. Poniżej przedstawiam tabele opisującą przykładową zagrożenia oraz sposoby postępowania w przypadku naruszenia bezpieczeństwa:
Tabela form naruszenia ochrony danych osobowych przez osoby zatrudnione przy przetwarzaniu danych
FORMY NARUSZEŃ |
SPOSOBY POSTĘPOWANIA |
W ZAKRESIE WIEDZY |
|
Ujawnianie sposobu działania aplikacji i systemu oraz jej zabezpieczeń osobom niepowołanym. |
Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić administratora bezpieczeństwa informacji. |
Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej. | |
Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji. | |
W ZAKRESIE SPRZĘTU I OPROGRAMOWANIA |
|
Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. | Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport |
Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. | Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport. |
Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci. | Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych osobom nieuprawnionym. | Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
Samodzielne instalowanie jakiegokolwiek oprogramowania. | Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport. |
Modyfikowanie parametrów systemu i aplikacji. | Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport. |
Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. | Pouczyć osobę popełniającą wymienioną czynność o szkodliwości takiego działania. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport. |
W ZAKRESIE DOKUMENTÓW I OBRAZÓW ZAWIERAJĄCYCH DANE OSOBOWE |
|
Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. | Zabezpieczyć dokumenty. Sporządzić raport. |
Przechowywanie dokumentów niewłaściwie zabezpieczonych przed dostępem osób niepowołanych. | Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport. |
Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. | Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport. |
Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. | Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport. |
Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. | Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane – sporządzić raport |
Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. | Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
Utrata kontroli nad kopią danych osobowych. | Podjąć próbę odzyskania kopii. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport. |
W ZAKRESIE POMIESZCZEŃ I INFRASTRUKTURY SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH |
|
Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. | Zabezpieczyć pomieszczenie. Powiadomić przełożonych. Sporządzić raport. |
Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. | Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i administratora bezpieczeństwa informacji. Sporządzić raport. |
Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
W ZAKRESIE POMIESZCZEŃ W KTÓRYCH ZNAJDUJĄ SIĘ KOMPUTERY CENTRALNE I URZĄDZENIA SIECI |
|
Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych. | Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport. |
Tabela zjawisk świadczących o możliwości naruszenia ochrony danych osobowych
FORMY NARUSZEŃ |
SPOSOBY POSTĘPOWANIA |
Ślady manipulacji przy układach sieci komputerowej lub komputerach. | Powiadomić niezwłocznie administratora bezpieczeństwa informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. |
Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. | Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport. |
Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych. | |
Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych. | |
Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania. | |
Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. | Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie administratora bezpieczeństwa informacji. Sporządzić raport. |
W przypadku wystąpienia naruszenia sporządza się raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych
RAPORT z naruszenia bezpieczeństwa zasad ochrony danych osobowych w ………………………………………………………………………………. |
|
1. Data: ………………………….
(dd.mm.rr) |
Godzina: …………………………………
(gg:mm) |
2. Osoba powiadamiająca o zaistniałym zdarzeniu:
……………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………….. (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje) |
|
3. Lokalizacja zdarzenia:
……………………………………………………………………………………………………………………………………………..………………………………………………………………………………………………….. (np. nr pokoju, nazwa pomieszczenia) |
|
4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:
………………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………………. |
|
5. Przyczyny wystąpienia zdarzenia:
………………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………………. |
|
6. Podjęte działania:
………………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………………. |
|
7. Postępowanie wyjaśniające:
………………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………………. |
|
Data i podpis Administratora Danych ………………………………………………………. |
Należy określić zasady udostępnienia danych podmiotom, które są upoważnione do tego na podstawie przepisów prawa oraz innym podmiotom. Kiedy dane można udostępnić, kto może to zrobić, w jakiej formie dane są udostępniane, kto i jak odnotowuje informację o udostępnieniu.
Jeżeli macie Państwo problemy z przygotowaniem dokumentacji przetwarzania danych osobowych (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnień, ewidencji upoważnień, umów powierzenia danych) oferujemy usługi w tym zakresie.
Proponujemy pomoc na trzech poziomach:
– weryfikacja bieżącej dokumentacji z naniesieniem uwag o błędach– poprawienie dokumentacji
– opracowanie i wdrożenie prawem wymaganej dokumentacji z zakresu ochrony danych osobowych
– definiowanie i rejestracja zbiorów w GIODO (wypełnienie wniosku)
Klient otrzymuje finalnie „produkt” gotowy do wdrożenia (Politykę bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym).
Dokumentacja jest opracowywana w szczegółowy sposób, aby zapewnić jak najlepsze dopasowanie do profilu działalności pod kątem przetwarzanych danych osobowych. Dedykowana dokumentacja wraz z wypełnieniem zapewnia spełnienie wszystkich wymogów ustawy o ochronie danych osobowych oraz rozporządzenia do art 39a niniejszej ustawy i przepisów wykonawczych.
Dokumentacja jest przygotowywana indywidualnie przy udziale klienta, który musi udzielić wielu informacji i współpracować na każdym etapie tworzenia dokumentów.
NIE CHCESZ WYKONYWAĆ FUNKCJI ABI?
PRZEJĘCIE FUNKCJI ABI CZYLI KOMPLEKSOWY OUTSOURCING
Outsourcing funkcji administratora bezpieczeństwa informacji (ABI) to sprawdzona i akceptowana przez GIODO forma przejęcia obowiązków związanych z ochroną danych osobowych.
Na czym polega outsourcing ABI?
Przekazują Państwo zespołowi ekspertów wszystkie obowiązki, wymienione po nowelizacji w art. 36a ust. 2 Ustawy o ochronie danych osobowych, m.in. sprawozdawczość, prowadzenie wewnętrznego jawnego rejestru, szkolenie pracowników, nadawanie i ewidencja upoważnień, opracowanie i aktualizacja dokumentacji.
Powierzenie wyspecjalizowanym osobom świadczenia funkcji zewnętrznego Administratora Bezpieczeństwa Informacji pozwoli Państwu na oszczędność kosztów i czasu oraz gwarantuje opiekę opiekę prawną najwyższej jakości.
Pełnienie funkcji (lub wsparcie) administratora bezpieczeństwa informacji (ABI) powołanego na podstawie art. 36a i zgłoszonego do GIODO (outsourcing ABI)
Zakres zadań obejmuje:
Bierzemy na siebie wszystkie obowiązki związane z ochroną danych osobowych, a Państwo mogą skupić się na swojej głównej działalności.
Cena usługi zależy od: liczby pracowników przetwarzających dane osobowe oraz liczby wykorzystywanych systemów informatycznych.
Ułatwienia dostępu