Jednym z wymogów nałożonych na administratorów danych, zgodnie z §3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100 poz. 1024), jest opracowanie polityki bezpieczeństwa oraz instrukcji, która określa sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. O polityce bezpieczeństwa już pisaliśmy tutaj. Tym razem pora na instrukcję.
Instrukcja powinna być zatwierdzona przez administratora danych i przyjęta do stosowania, jako dokument obowiązujący w firmie. W treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, ale też procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. W przypadku, kiedy administrator danych, do przetwarzania wykorzystuje nie jeden, lecz kilka systemów, wówczas stosownie do podobieństwa zastosowanych rozwiązań powinien opracować jedną, ogólną instrukcję zarządzania albo opracować oddzielne dla każdego z systemów. Dlatego w zależności od przyjętego rozwiązania, inny będzie zakres opracowanych zagadnień w małych Ośrodkach Szkolenia Kierowców, w których dane osobowe przetwarzane są przy pomocy jednego lub kilku komputerów i inny w dużych OSK, w których funkcjonują rozbudowane lokalne sieci komputerowe z dużą ilością serwerów i stacji roboczych przetwarzających dane przy użyciu wielu systemów informatycznych. Może z tego zatem wynikać prosty wniosek – do obsługi PKK warto wydzielić jeden komputer. Ale czy to się sprawdzi i będzie wygodne?
W instrukcji, o której mowa, powinny być wskazane systemy informatyczne, których ona dotyczy, ich lokalizacje, stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej, czy też poprzez sieć telekomunikacyjną np. łącze dzierżawione, Internet). Instrukcja ta powinna obejmować zagadnienia dotyczące zapewnienia bezpieczeństwa informacji, a w szczególności elementy wymienione w §5 rozporządzenia, na które składają się:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt. 4, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (m.in. wirusy, trojany itp.),
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia (informacje o odbiorcach, którym udostępniono dane),
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
W celu zapewnienia ochrony przetwarzanych danych, w odniesieniu do każdego z wymienionych wyżej punktów, w treści instrukcji powinny być wskazane odpowiednie dla stosowanych systemów informatycznych zasady postępowania. Ogólne wskazówki odnośnie tego co ma się znaleźć w instrukcji aby było zgodne z wyżej wymienionymi punktami opisujemy poniżej:
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (§ 5 pkt 1 rozporządzenia)
W punkcie tym powinny zostać opisane zasady przyznawania użytkownikowi identyfikatora w systemie informatycznym i zasady nadawania lub modyfikacji uprawnień użytkownika do zasobów systemu. Zasady te powinny obejmować operacje związane z nadawaniem użytkownikom uprawnień do pracy w systemie począwszy od tworzenia im kont, poprzez przydzielanie i modyfikację ich uprawnień aż do momentu ich usunięcia z systemu. Trzeba również w sposób jednoznaczny określić zasady postępowania z hasłami użytkowników uprzywilejowanych (tzn. użytkowników posiadających uprawnienia na poziomie administratorów systemu), jak również zasady administrowania systemem informatycznym w przypadkach awaryjnych np. nieobecności administratora. W instrukcji należy wskazać osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie informatycznym.
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem (§ 5 pkt 2 rozporządzenia).
Ten punkt ma zawierać opis trybu przydzielania haseł (w formie ustnej czy pisemnej) i zalecenia dotyczących stopnia ich złożoności. Powinny zostać również wskazane osoby odpowiedzialne za przydział haseł. Wskazanie to może być określone funkcjonalnie lub personalnie. Zaleca się, żeby unikać przekazywania haseł przez osoby trzecie lub za pośrednictwem niechronionych wiadomości e-mail. Użytkownik po otrzymaniu hasła powinien być zobowiązany do niezwłocznej jego zmiany, chyba, że system nie umożliwia wykonania takiej operacji. Należy też podać dodatkowe informacje dotyczące haseł, takie jak wymogi dotyczące ich powtarzalności czy też wymogi dotyczące zestawu tworzących je znaków. W OSK hasło uwierzytelniające użytkownika w systemie powinno mieć co najmniej 8 znaków, zawierać małe i duże litery oraz cyfry lub znaki specjalne. Wynika to z konieczności stosowania środków bezpieczeństwa na poziomie wysokim. Powinna być również zawarta informacja o wymaganej częstotliwości (nie rzadziej niż co 30 dni) i metodzie zmiany hasła np. czy zmiana hasła wymuszana jest po określonym czasie przez system informatyczny, czy też użytkownik sam musi o tym pamiętać. Hasła w systemie powinny być przechowywane w postaci zaszyfrowanej. Należy wskazać sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów i sposób odnotowywania ich awaryjnego użycia. Dodatkowo, w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika, np. kart mikroprocesorowych czy też metod biometrycznych w instrukcji powinny być zawarte wytyczne w zakresie ich stosowania. Dla kart mikroprocesorowych np. należy wskazać sposób ich personalizacji, zaś dla metod biometrycznych sposób pobierania danych biometrycznych w procesie rejestrowania użytkownika w systemie oraz sposób ich przechowywania.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu (§ 5 pkt 3 rozporządzenia).
Punkt ten powinien zawierać kolejne czynności, jakie należy wykonać w celu uruchomienia systemu informatycznego, a w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu). Trzeba też określić metody postępowania w sytuacji tymczasowego zaprzestania pracy na skutek opuszczenia stanowiska pracy lub w okolicznościach, kiedy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba. Użytkownik musi wiedzieć, że trzeba się wylogować z systemu przed wyłączeniem komputera i wiedzieć jak to zrobić. Procedury przeznaczone dla użytkowników powinny wskazywać co zrobić w sytuacji podejrzenia naruszenia bezpieczeństwa systemu np. w przypadku braku możliwości zalogowania się na swoje konto czy w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe lub sprzętowe.
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt 4 rozporządzenia).
W tym punkcie trzeba opisać metody i częstotliwość tworzenia kopii zapasowych danych i kopii zapasowych systemu używanego do ich przetwarzania. Trzeba określić które dane będą trafiać do kopii zapasowych, na czym będą te kopie zapisane i z użyciem jakich narzędzi utworzone. W procedurze wykonywania kopii powinien być określony harmonogram wykonywania kopii zapasowych dla poszczególnych zbiorów danych wraz ze wskazaniem odpowiedniej metody sporządzania kopii (kopia przyrostowa – do kopii zapasowej trafia tylko porcja ostatnich danych wzbogacając zawartość kopii albo kopia całościowa – każda, kolejno tworzona kopia zapasowa zawiera całość zgromadzonych danych). W procedurach określających zakres i sposób wykonywania kopii zapasowych powinny być wskazane okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych (np. jak często należy wymieniać użytkowany stale do zapisu i odczytu pendrive). Powinny być określone procedury likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia
Sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w §5 pkt. 4 rozporządzenia.
W tym punkcie instrukcji należy określić sposób i czas przechowywania wszelkiego rodzaju nośników informacji (płyty CD, pendrive’y). Należy wskazać pomieszczenia, przeznaczone do przechowywania nośników informacji oraz sposób zabezpieczenia tych nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem. Przy opracowywaniu tych zaleceń należy uwzględnić, że kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Należy uwzględnić też wymóg nakazujący, aby kopie awaryjne bezzwłocznie usuwać po ustaniu ich użyteczności. W przypadku przekazywania nośników informacji podmiotom zewnętrznym w celu bezpiecznego ich przechowywania (np. stosowane dość często deponowanie kopii zapasowych w skarbcach bankowych) należy określić procedury przekazywania nośników informacji tym podmiotom i wskazać metody zabezpieczania przekazywanych nośników informacji przed dostępem osób nieuprawnionych podczas ich transportu/przekazywania.
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (§ 5 pkt 6 rozporządzenia).
Ten punkt ma zawierać obszary systemu narażone na ingerencję wirusów komputerowych i wszelkiego rodzaju innego szkodliwego oprogramowania. Trzeba wskazać możliwe źródła przedostania się szkodliwego oprogramowania do systemu i działania, jakie trzeba podejmować, żeby minimalizować możliwość zarażenia. Niezależnie od wskazania czynności profilaktycznych, w instrukcji należy wskazać też zastosowane narzędzia programowe, których zadaniem jest przeciwdziałanie wirusom. Trzeba podać oprogramowanie antywirusowe, które zostało zainstalowane, określić metody i częstotliwość aktualizacji definicji wirusów i osoby odpowiedzialne za zarządzanie tym oprogramowaniem. Powinny być przedstawione też procedury postępowania użytkowników na okoliczność zidentyfikowania określonego typu zagrożeń. Użytkownik powinien być poinformowany o czynnościach, które powinien wykonać w przypadku, gdy program antywirusowy wskazuje zaistnienie zagrożenia. W przypadku, gdy stosowane są metody inne niż oprogramowanie – należy je wskazać i przedstawić procedury związane z ich stosowaniem. Do metod takich mogą należeć m. in. fizyczne odłączenie urządzeń umożliwiających odczyt danych z wymiennych nośników informatycznych poszczególnych stacji komputerowych (np. odłączenie stacji CD, dysku, itp.) i wyznaczenie wydzielonego stanowiska w sieci komputerowej do wymiany danych za pomocą nośników zewnętrznych.
Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4.
Zgodnie z § 7 ust. 1 pkt. 4 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten powinien zapewnić odnotowanie informacji o udostępnieniach danych odbiorcom, w rozumieniu art. 7 pkt. 6 ustawy, zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Wynika stąd, że system informatyczny wykorzystywany do przetwarzania danych osobowych powinien posiadać funkcjonalności umożliwiające odnotowanie wspomnianych wyżej informacji. Sposób i forma odnotowania, jak wynika z § 5 pkt. 7 rozporządzenia, powinna zostać określona w instrukcji. Szczególną uwagę zwrócić należy na fakt, nie wystarczy odnotowanie na papierze informacji o tym komu, kiedy i w jakim zakresie dane danej osoby zostały udostępnione. Instrukcja nie może więc przewidywać takiego sposobu realizacji tego wymogu. Byłoby to niezgodne z przedstawioną w ustawie definicją systemu informatycznego
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych (§ 5 pkt 8 rozporządzenia)
W punkcie tym należy określić cel, zakres, częstotliwość i procedury wykonywania przeglądów i konserwacji systemu. Trzeba wskazać podmioty i osoby do tego uprawnione. Procedury wykonywania takich czynności poprzez np. zlecanie ich specjalistom z firm zewnętrznych powinny określać sposób, w jaki czynności te nadzorowane są przez administratora danych. W przypadku przekazywania do naprawy nośników zawierających dane osobowe należy określić sposób usuwania danych z tych nośników, przed ich przekazaniem. W procedurach dotyczących naprawy sprzętu komputerowego należy uwzględnić wymóg, aby urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do naprawy, pozbawiać wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie, bądź też naprawiać je pod nadzorem osoby upoważnionej przez administratora danych.
Źródło:
GIODO: Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji.
fot.: sxc.hu