english

Polityka bezpieczeństwa informacji

Artykuł omawia kwestię związaną z polityką bezpieczeństwa informacji. Jeżeli mają Państwo wątpliwości co do zagadnień, które powinny się znaleźć w dokumencie zawierającym politykę bezpieczeństwa informacji lub też potrzebują pomocy w jego opracowaniu – zachęcamy do kontaktu: biuro@opclegal.pl, tel.: +48 793 384 396.

Każdy administrator danych osobowych ma obowiązek opracowania oraz wdrożenia polityki bezpieczeństwa informacji. Dokument zawierający politykę bezpieczeństwa informacji ma na celu określenie sposobu przetwarzania danych osobowych oraz środków ich ochrony.

Poniżej przedstawimy listę zagadnień, które powinny znaleźć się w polityce bezpieczeństwa informacji wraz z omówieniem, dzięki czemu będą mogli Państwo w prosty sposób dostosować je do własnych potrzeb.

Zagadnienia ogólne

⧠ wskazanie podmiotu odpowiedzialnego za opracowanie i wdrożenie polityki bezpieczeństwa – administratora danych osobowych
⧠ wyjaśnienie celu wprowadzenia polityki bezpieczeństwa – zapewnienie zgodności działania administratora danych z przepisami o ochronie danych osobowych
⧠ podstawy prawne
– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
– Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych
⧠ zakres przedmiotowy polityki bezpieczeństwa – opisujemy poniżej

Definicje

Zdefiniowanie pojęć kluczowych, które będą powtarzały się w dalszej części dokumentu, pozwoli na utrzymanie spójności i uniknięcie konieczności ich każdorazowego wyjaśniania. Wprowadzając definicje w polityce bezpieczeństwa można (i jest to nawet wskazane) posłużyć się definicjami ustawowymi.

Administrator Bezpieczeństwa Informacji

Jeśli został powołany, dobrym rozwiązaniem jest poświęcenie miejsca w polityce bezpieczeństwa na określenie jego obowiązków i zakresu odpowiedzialności. Zgodnie z przepisami ustawy o ochronie danych osobowych (u.o.d.o.) administrator bezpieczeństwa informacji odpowiedzialny jest w szczególności za zapewnienie przestrzegania przepisów o ochronie danych osobowych i prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Upoważnienie do przetwarzania danych osobowych

Pracownicy, wykonując swoje obowiązki, przetwarzają dane osobowe. Zgodnie z przepisami u.o.d.o. muszą w tym celu otrzymać stosowne upoważnienie nadane przez administratora danych. Zasady, na jakich będzie się to odbywało, muszą zostać określone w polityce bezpieczeństwa. Wzór dokumentu upoważnienia dołączamy do polityki bezpieczeństwa.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

⧠ adres siedziby administratora danych osobowych
⧠ siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy
⧠ adresy miejsc, w których przechowywanie są nośniki informacji zawierające dane osobowe

Z uwagi na szeroką definicję przetwarzania danych w u.o.d.o., do obszaru tego zalicza się nie tylko miejsca, w których wykonywane są operacje na danych osobowych (wprowadzanie, modyfikowanie, kopiowanie danych), ale także miejsca, w których jedynie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe). Z wielu względów praktycznych zbyt dokładne określanie tych pomieszczeń nie jest wskazane, a często nawet możliwe. Dlatego też przyjmuje się, że wystarczające jest określenie powyższych miejsc poprzez wskazanie ich adresu, bez dokładnego określania poszczególnych pomieszczeń.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

⧠ wskazanie nazw zbiorów danych oraz nazw programów używanych do ich przetwarzania

W wykazie powinny znaleźć się informacje o wszystkich programach wykorzystywanych do przetwarzania danych w ramach danego zbioru, bez względu na to czy zarządzanie oraz administracja tymi programami leży w gestii administratora danych, czy podmiotów zewnętrznych. Ponadto trzeba mieć na uwadze, że – w odróżnieniu od rejestru – wykaz zbiorów danych osobowych zawiera wszystkie zbiory danych przetwarzane przez administratora danych, bez żadnych wyjątków (czyli również te zwolnione z obowiązku rejestracji).

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

W punkcie tym wskazujemy poszczególne grupy informacji (np. dane adresowe klienta, zamówienia klienta, sprzedawane towary) oraz istniejące między nimi relacje, dzięki czemu możliwa będzie identyfikacja pełnego zakresu danych osobowych, jakie są przetwarzane w określonym zbiorze. Powiązania te można przedstawić zarówno w formie opisu tekstowego, jak i w postaci graficznej.

Sposób przepływu danych pomiędzy poszczególnymi systemami

⧠ wskazanie wszystkich używanych systemów informatycznych
⧠ informacja, z jakimi zbiorami danych poszczególne systemy współpracują
⧠ sposób przepływu informacji pomiędzy zbiorem danych a systemem informatycznym – jednokierunkowy (np. informacje pobierane są tylko do odczytu) lub dwukierunkowy (np. informacje pobierane są do odczytu i zapisu)
⧠ sposób przepływu danych pomiędzy poszczególnymi systemami
– wskazanie zakresu przesyłanych danych
– ogólne informacje na temat sposobu przesyłania danych, które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji
– wskazanie podmiotu lub kategorii podmiotów, do których dane są przekazywane

W informacji o sposobie przepływu danych pomiędzy poszczególnymi systemami musimy uwzględnić również przepływ do podmiotów zewnętrznych zaangażowanych w proces przetwarzania danych osobowych – mogą to być np. systemy podmiotów, którym zostało powierzone przetwarzanie danych osobowych na podstawie art. 31 u.o.d.o. Co ważne, w punkcie tym nie jest wymagane szczegółowe omawianie rozwiązań technologicznych – powyższe informacje powinny zostać przedstawione w sposób ogólny i przejrzysty.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

⧠ środki ochrony fizycznej
⧠ środki sprzętowe, informatyczne i telekomunikacyjne
⧠ środki ochrony w ramach oprogramowania systemu
⧠ środki organizacyjne

Określenie środków technicznych i organizacyjnych powinno być poprzedzone analizą zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych – zastosowane środki muszą być adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. Powinny one spełniać wymogi określone w art. 36-39 u.o.d.o. oraz być adekwatne do wymaganych poziomów bezpieczeństwa, o których mowa w § 6 rozporządzenia.

Załączniki

1. Wyznaczenie Administratora Bezpieczeństwa Informacji
2. Upoważnienie do przetwarzania danych osobowych
3. Ewidencja osób uprawnionych do przetwarzania danych osobowych – powinna zawierać następujące informacje:
– imię i nazwisko,
– funkcja,
– zakres upoważnienia,
– numer upoważnienia,
– data przyznania upoważnienia,
– data ustania upoważnienia,
– identyfikator (login)

opublikowano: 26/04/2017, autor: Natalia Łaski