GIODO i systemy informatyczne

przez

skrypt przygotowany na podstawie:
https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39

Administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Definicje

1. Pojęcie „ochrony danych” należy utożsamiać z pojęciem „bezpieczeństwa informacji”, stosowanym w literaturze z zakresu bezpieczeństwa teleinformatycznego. Przez bezpieczeństwo informacji należy rozumieć ich:

  • Poufność – zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
  • Integralność – zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  • Dostępność – zapewnienie bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,
  • Rozliczalność – zapewnienie, że działania podmiotu mogą być przy pisane w sposób jednoznaczny tylko temu podmiotowi,
  • Autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),
  • Niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie,
  • Niezawodność – zapewnienie spójności oraz zamierzonych zachowań i skutków.

2. Polityka bezpieczeństwa jest to zestaw praw, reguł i praktycznych doświadczeń przygotowany w formie pisemnej dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych wewnątrz określonej organizacji.

Minimalna zawartość:

a) mechanizm umożliwiający współużytkowanie informacji;

b) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji w odniesieniu do strategii i wymagań biznesowych;

c) strukturę wyznaczania celów stosowania zabezpieczeń, w tym strukturę szacowania i zarządzania ryzykiem;

d) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, norm i wymagań zgodności mających szczególne znaczenie dla organizacji, zawierające:

  • zgodność z prawem, regulacjami wewnętrznymi i wymaganiami wynikającymi z umów;
  • wymagania dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa;
  • zarządzanie ciągłością działania biznesowego;
  • konsekwencje naruszenia polityki bezpieczeństwa;

e) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania incydentów związanych z bezpieczeństwem informacji;

f) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dotyczących poszczególnych systemów informatycznych lub zalecanych do przestrzegania przez użytkowników zasad bezpieczeństwa.

g) identyfikacji zasobów informacyjnych oraz określenia miejsca i sposobu ich przechowywania (w tym nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania). Dla ułatwienia nalezy zdefiniować następujące elementy:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.

h) mechanizm zapewniający dokumentację i ciągłość doskonalenia zabezpieczenia

Dokument określający politykę bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania.

3. Instrukcja zarządzania systemem informatycznym, która określa sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, powinna zawierać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed wirusami komputerowymi oraz wszelkiego rodzaju innym szkodliwym oprogramowaniem,
  • sposób odnotowywania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (forma papierowa nie jest wystarczająca),
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Poszerzony opis w rozdziale 4.

Obowiązki administratora

1. zapewnienia i udostępniania – na żądanie osoby, której dane są przetwarzane – informacji o:

  • dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych,
  • źródle, z którego pochodzą dane jej dotyczące, chyba że administrator jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
  • sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
  • sposobie, w jaki zebrano dane,

2. posiadania polityki bezpieczeństwa,

3. posiadanie instrukcji zarządzania systemem informatycznym.

Wymagania funkcjonalne względem systemu informatycznego

Konkretne środki, jakie należy zastosować, będą zależne od infrastruktury technicznej i wielkości używanego systemu informatycznego. Minimalne wymogi, jakie powinny być spełnione, uzależnione są one od ryzyka i zagrożeń, na jakie narażone są przetwarzane dane.

wynikające z potrzeb zapewnienia bezpieczeństwa

Dostęp do systemu informatycznego zabezpieczony powinien być za pomocą mechanizmów uwierzytelnienia, gdzie każdemu użytkownikowi przypisuje się jednoznaczny identyfikator oraz dane służące uwierzytelnieniu. W celu uzyskania dostępu do tak zabezpieczonego systemu użytkownik musi wprowadzić swój identyfikator i przypisane mu dane uwierzytelniające. Kontrolę dostępu uzyskuje się w tym wypadku poprzez przypisanie w systemie danemu użytkownikowi odpowiednich uprawnień, a także poprzez zapewnienie, że dane służące uwierzytelnieniu zna tylko użytkownik, którego one dotyczą. Dostęp do określonych informacji czy też funkcji służących wykonywaniu określonych operacji na danych powinien być przyznawany zgodnie z nadanymi dla konkretnego użytkownika uprawnieniami. Ponadto, wykonywane przez niego operacje (w razie ich rejestrowania) powinny być opatrywane jego identyfikatorem. W szczególności, gdy przedmiotem wykonywanych operacji jest wprowadzenie danych osobowych, w bazie systemu wraz z wprowadzonymi danymi powinien być odnotowany identyfikator użytkownika, który wprowadzał te dane i data ich wprowadzenia.

W rozporządzeniu nie określa się metod uwierzytelnienia, jakie powinny być stosowane. Może to być metoda wykorzystująca znany tylko danemu użytkownikowi sekret, nazywana również metodą typu co wiem. Jest najczęściej stosowana. Uwierzytelnienie użytkownika polega w niej na wprowadzeniu identyfikatora i znanego tylko temu użytkownikowi hasła.

W razie wykorzystywania tej metody uwierzytelniania,, wymagane jest, aby długość hasła składała się co najmniej z 8 znaków (zawiera małe i wielkie litery oraz cyfry lub znaki specjalne), jeśli mamy do czynienia z wysokim poziomem bezpieczeństwa.

wynikające z obowiązku informacyjnego

Wymagania dotyczące obowiązku informacyjnego określają zakres danych, jakie powinny być rejestrowane w systemie informatycznym. Są to:

  • daty pierwszego wprowadzenia danych do systemu;
  •  identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
  •  informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
  • odnotowanie sprzeciwu wobec przetwarzania danych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Opis wymaganych rozwiązań technicznych lub organizacyjnych

Poziom podstawowy

I.
  1. Budynki, pomieszczenia lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
  2. Przebywanie osób nieuprawnionych ww obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

II.
  1. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych./li>
  2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
  • w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
  • dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

III.

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

  • działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
  • utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

IV.
  1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
  3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  4. Kopie zapasowe:
  • przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
  • usuwa się niezwłocznie po ustaniu ich użyteczności.

V.

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem wskazanym w polityce bezpieczeństwa, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

VI.

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

  • likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
  • przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
  • naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

VII.

Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.

Poziom średni

VIII.

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

IX.

Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar wskazanym w polityce bezpieczeństwa zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

X.

Instrukcję zarządzania systemem informatycznym rozszerza się o sposób stosowania środków bezpieczeństwa wobec urządzeń i nośników przenośnych.

Poziom wysoki

dotyczy internetowych systemów informatycznych

XII.
  1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
  2. W przypadku zastosowania logicznych zabezpieczeń obejmują one:
  • kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
  • kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

XIII.

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Dodaj komentarz