Ściągając i zapisując dane kursantów z użyciem Profilu Kandydata na Kierowcę tworzymy u siebie bazę danych osobowych. Jak każda taka baza – musi podlegać środkom ochrony. Co w związku z tym należy zrobić?
Zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 i nr 153, poz. 1271 oraz z 2004 r. nr 25, poz. 219 i nr 33, poz. 285) zbierając i przetwarzając dane osobowe należy zastosować się do konkretnych przepisów. Jeden z nich mówi o powołaniu w instytucji osoby – administratora danych, który w świetle Ustawy będzie odpowiedzialny za ich bezpieczeństwo, zgodne z prawem przechowywanie, przyjmowanie i przetwarzanie. Wyjściowym przepisem jest poniższy artykuł:
Art. 36
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne do przetwarzania danych osobowych (Dz. U. z 2004 r., nr 100, poz. 1024) określa szczegółowo wszystkie terminy wymienione w przytoczonym powyżej artykule ustawy.
Potrzebne są dwa dokumenty (w formie pisemnej, wdrożone przez administratora danych):
- polityka bezpieczeństwa
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (instrukcja).
Zapraszamy do lektury opracowania mogącego pomóc w przygotowaniu dobrej polityki bezpieczeństwa. W kolejnej części napiszemy o przygotowaniu instrukcji zarządzania systemem informatycznym.
Polityka Bezpieczeństwa w OSK
Polityka bezpieczeństwa
to nic innego jak zebrane w jednym dokumencie informacje o wszystkich kwestiach związanych ze zbieraniem, przechowywaniem, magazynowaniem i przetwarzaniem spływających do OSK danych osobowych. Co powinna zawierać polityka bezpieczeństwa Ośrodka Szkolenia Kierowców? Rozporządzenie mówi o tym w §4.
- wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarza się dane osobowe.
Poza adresem należy uwzględnić konkretny budynek, numer sali/pokoju lub nawet jego części. Określając obszar przetwarzania danych osobowych należy pamiętać, iż zgodnie z ustawa o ochronie danych osobowych, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje sie w systemach informatycznych. W związku z tym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno miejsca, w których wykonuje się operacje na danych osobowych (wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacja papierowa, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco).
- wykaz zbiorów danych osobowych ze wskazaniem programów stosowanych do przetwarzania danych.
Oprócz wskazania obszaru przetwarzania danych, polityka bezpieczeństwa powinna identyfikować zbiory danych osobowych i systemy informatyczne używane do ich przetwarzania. W przypadku, gdy system zbudowany jest z wielu modułów programowych i moduły te mogą pracować niezależnie np. mogą być instalowane na różnych stacjach komputerowych, wówczas wskazanie systemu powinno być wykonane z dokładnością do poszczególnych jego modułów. Należy też zauważyć, że jeden program może przetwarzać dane zawarte w jednym zbiorze jak i wielu zbiorach danych osobowych. Wykaz ten powinien zawierać informacje w zakresie precyzyjnej lokalizacji miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia np. macierzy dyskowej, biblioteki optycznej itp.), w których znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania.
- Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi.
Zgodnie z § 4 pkt 3 rozporządzenia, dla każdego zidentyfikowanego zbioru danych powinien być wskazany opis struktury zbioru i zakres informacji gromadzonych w danym zbiorze. Opisy poszczególnych pól informacyjnych w strukturze zbioru danych powinny jednoznacznie wskazywać jakie kategorie danych są w nich przechowywane. Opis pola danych, w przypadkach, gdy możliwa jest niejednoznaczna interpretacja jego zawartości, powinien wskazywać nie tylko kategorie danych, ale również format jej zapisu i/lub określone w danym kontekście znaczenie. Opis ten może być przedstawiony w postaci formalnej, w postaci graficznej pokazującej istniejące powiązania pomiędzy obiektami, ale też opisu tekstowego.
- Sposób przepływu danych pomiędzy poszczególnymi systemami
W tym punkcie należy napisać czy przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest jednokierunkowy np. informacje pobierane są tylko do odczytu, czy dwukierunkowy (do odczytu i do zapisu – czyli tak, jak w przypadku PKK, pobieramy go, odczytujemy, nanosimy dane o szkoleniu i „odsyłamy”). W sposobie przepływu danych pomiędzy poszczególnymi systemami należy zamieścić również informacje o danych, które przenoszone są pomiędzy systemami w sposób manualny (przy wykorzystaniu zewnętrznych nośników danych, np. na papierze – obecnie sugeruje się, by na wszelki wypadek PKK „dublować” dokumentami papierowymi) lub półautomatycznie – za pomocą teletransmisji (przy wykorzystaniu specjalnych funkcji eksportu/importu danych, np. w programie EasyOSK), wykonywanych w określonych odstępach czasu. Podobny przepływ danych występuje np. pomiędzy systemami Kadrowym, Płacowym a systemem Płatnik służącym do rozliczeń pracowników z ZUS. W punkcie określającym sposób przepływu danych pomiędzy systemami nie jest wymagane szczegółowe omawianie rozwiązań technologicznych. Najistotniejsze jest wskazanie zakresu przesyłanych danych, podmiotu lub kategorii podmiotów, do których dane są przekazywane oraz ogólnych informacji na temat sposobu przesyłania danych (Internet, poczta elektroniczna, inne rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa.
- Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Ważnym jest, aby zastosowane środki techniczne i organizacyjne niezbędne do zapewnienia poufności i integralności przetwarzanych danych były adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. Środki te powinny zapewniać rozliczalność wszelkich działań – musi być możliwość sprawdzenia aktywności w systemie wszystkich osób, które przetwarzają dane osobowe. Ze względu na fakt, że wśród danych zawartych w PKK są dane dotyczące stanu zdrowia kandydata i fakt, że przynajmniej jeden komputer obsługujący PKK musi mieć połączenie z Internetem – każdy OSK musi wprowadzić u siebie i zastosować środki ochrony danych osobowych na poziomie wysokim. Wytyczne Generalnego Inspektora Ochrony Danych Osobowych mówią wprost: prawidłowe opracowanie polityki bezpieczeństwa przetwarzania danych osobowych w ww. zakresie jest procesem złożonym, wymagającym m.in. znajomości podstawowych pojęć i modeli używanych do opisywania sposobów zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele, o których mowa, jak również zagadnienia w zakresie zarządzania i planowania bezpieczeństwa systemów informatycznych, opisane zostały m.in. w Polskich Normach. W polityce bezpieczeństwa – dokumencie udostępnianym do wiadomości wszystkim pracownikom - nie należy opisywać szczegółów dotyczących charakterystyki technicznej i konfiguracji stosowanych narzędzi. Dokumenty opisujące szczegóły w tym zakresie powinny być objęte ochrona przed dostępem do nich osób nieupoważnionych.
w następnej części o instrukcji zarządzania systemem informatycznym
L-instruktor zaprasza!
Źródła:
Andrzej Kaczmarek - Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa (www.giodo.gov.pl)
Generalny Inspektor Ochrony Danych Osobowych, na podstawie:
PN-I-02000: Zabezpieczenia w systemach informatycznych – Terminologia, PKN, 1998
PN-I-13335-1: Technika informatyczna. Wytyczne do zarzadzania bezpieczeństwem systemów informatycznych, PKN, 1999
PN-ISO/IEC 17799 Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, 2003
Tomasz Pełech, Gazeta IT nr 6(25), 20 czerwiec 2004
Andrzej Białas, Eugeniusz Januła i inni; (red. Andrzej Białas) Podstawy bezpieczeństwa systemów teleinformatycznych; Wydawnictwo Pracowni Komputerowej Jacka Skalmierskiego, Gliwice 2002
Paul Beynon-Davies, Systemy baz danych, Wydawnictwo Naukowo-Techniczne, Warszawa 1998.
Lech Banachowski, Bazy Danych – Tworzenie aplikacji, Akademicka Oficyna Wydawnicza PLJ, Warszawa 1998.
fot.: sxc.hu