Administrator Bezpieczeństwa Informacji

ABI

Badania pokazują, że nasze społeczeństwo jest coraz bardziej świadome swoich praw wynikających z ustawy o ochronie danych osobowych. Świadomość ta zwykle koncentruje się wokół kilku pojęć. „Zgoda na przetwarzanie danych osobowych”, „GIODO”, „ABI” – są moim zdaniem najczęściej używanymi słowami-kluczami, z którymi ludzie kojarzą ochronę danych. W praktyce, niejednokrotnie przedsiębiorcy ograniczają się jedyne do wyznaczenia ABI, traktując to jako dopełnienie swoich obowiązków oraz jako przerzucenie ewentualnej odpowiedzialności na inną osobę.

Zapraszam do zapoznania się krótkim tekstem na temat roli administratora bezpieczeństwa informacji z punktu widzenia dyrektywy 95/46/WE Parlamentu Europejskiego oraz ustawy o ochronie danych osobowych. Tekst ten stanowi fragment nieco dłuższego opracowania, które wkrótce pojawi się na naszych stronach.

Dyrektywa

Europejskie prawo ochrony danych osobowych opiera się na dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa wprowadza pojęcie Urzędnika do spraw ochrony danych, któremu w ustawie o ochronie danych osobowych odpowiada Administrator bezpieczeństwa informacji. Od razu należy jednak zwrócić uwagę na kilka szczegółów. Angielska wersja Dyrektywy, mówi o „data protection official” (DPO) czemu w polskim tłumaczeniu odpowiada „Urzędnik odpowiedzialny za ochronę danych”. Jednak w art. 18 tłumaczenia pojawia się „Urzędnik do spraw ochrony danych”. Czy jest to celowe rozróżnienie? Tym bardziej, że w wersji angielskiej też pojawia się drobna różnica. Mamy tutaj „personal data protection official”.

Jednak nieco więcej zamieszania może wyniknąć z rozporządzenia Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Rozporządzenie mówi o „Data Protection Officer”, co zostało przetłumaczone jako „inspektor ochrony danych”. Powrócę do tego tematu na końcu tekstu.

Co Dyrektywa mówi o DPO:

  • Musi mieć on możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły).
  • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły).
  • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2).
  • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2)..
  • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów).
  • Współpracuje z GIODO w trakcie kontroli wstępnych.

Ustawa

W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. Nie będę tutaj rozważał sytuacji sprzed tej nowelizacji. Zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Zgodnie z ustawą ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. Zapis ten możemy uznać za bardzo ogólny i w rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo różny. Warto zwrócić uwagę, że w innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone.

Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.

„Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych.

ABI może, ale nie musi być pracownikiem administratora danych. Należy jednak zwrócić uwagę, że powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. Zwykle postuluje się tutaj, że nie powinien on być pracownikiem pionu IT, podlegającemu zwykle szczególnej uwadze ABI. Ze względów dowodowych, wyznaczenie ABI powinno mieć formę pisemną.

Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych.

Istnieją podzielone opinie, co do tego, czy ADO może wyznaczyć kilku ABI. Ja skłaniałbym się do tego, że jest dopuszczalne, a w wielu organizacjach nawet wskazane.

Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy.

Art. 51.

  1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
  2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

VI Internetowe Spotkanie ABI

Zapraszamy do udziału w VI Internetowym Spotkaniu Administratorów
Bezpieczeństwa Informacji.

Wychodząc naprzeciw oczekiwaniom tych z Was, którzy nie mogli
uczestniczyć w spotkaniach w godzinach pracy, tym razem
wideokonferencję rozpoczniemy o 17:00 (rejestracja od 16:30), w
czwartek, 15 grudnia 2011.

Zgodnie z obietnicą, będziemy gościć doświadczonego audytora z
CIS CERT. Planujemy też, powiedzieć nieco o obowiązkach ABI i
planowanych zmianach w tym zakresie. Oczywiście, liczymy na
ożywione dyskusje.

Agenda:
16.30 – 17.00 – rejestracja uczestników
17.00 – 17.20 – wykład – „Rola audytora w doskonaleniu systemu
zarządzania bezpieczeństwem informacji”
17.20 – 17.40 – wykład – „ABI – teraźniejszość i przyszłość”
17.40 – 18.30 – panel dyskusyjny
18.30 – podsumowanie i zamknięcie spotkania

W spotkaniu można wziąć udział po zainstalowaniu komunikatora:
http://www.vidcom.pl/pobierz.php
lub przez przeglądarkę, po wejściu na stronę:
http://flashvico.vidcom.pl/conference/join/spotkanie_abi

Nazwa konferencji: spotkanie_abi

Zachęcamy do korzystania z kamerki i mikrofonu. Jeżeli jednak z
jakiegokolwiek powodu nie chcecie lub nie możecie skorzystać z tej
formy komunikacji, możecie rozmawiać z innymi uczestnikami
spotkania, za pośrednictwem czatu.

Szczegóły na forum grupy:
http://www.goldenline.pl/forum/2702058/vi-internetowe-spotkanie-abi
i stronie spotkania:
http://www.goldenline.pl/spotkanie/vi-internetowe-spotkanie-abi
Zapraszam do rejestrowania się.

V Internetowe Spotkanie ABI

Zapraszamy do udziału w V Internetowym Spotkaniu ABI.

Spotkanie zaplanowaliśmy na 17 listopada.
Agenda:
12.30 – 13.00 – rejestracja uczestników
13.00 – 13.20 – wykład – „Rola audytora w doskonaleniu systemu zarządzania bezpieczeństwem informacji”
13.20 – 13.40 – wykład – „Zarządzanie ciągłością działania”
13.40 – 14.30 panel dyskusyjny
14.30 – podsumowanie i zamknięcie spotkania

Liczymy, że w części dyskusyjnej, uda nam się porozmawiać również na tematy poruszane na forum naszej grupy.

Zachęcamy do korzystania z kamerki i mikrofonu. Jeżeli jednak z jakiegokolwiek powodu nie chcecie lub nie możecie skorzystać z tej formy komunikacji, możecie rozmawiać z innymi uczestnikami spotkania, za pośrednictwem czatu.

Szczegóły na stronie spotkanie: http://www.goldenline.pl/spotkanie/v-internetowe-spotkanie-administratorow-bezpieczenstwa-informacji2
Zapraszam do rejestrowania się.

Gdzie znajdę materiały na temat bezpieczeństwa informacji?

W Internecie można znaleźć mnóstwo materiałów na temat bezpieczeństwa informacji i normy ISO 27001. Jak dla mnie jest to wręcz klęska urodzaju – materiałów jest tak dużo, że można stracić tygodnie na poszukiwaniu czegoś wartościowego i oryginalnego. Na kolejnych stronach powielane są te same informacje, a opanowane przez pozycjonerów Google nie pomagają nam w jakiś szczególny sposób wyszukać użytecznych informacji.

Moim, subiektywnym zdaniem warto zaglądać na strony:

Dostęp do komputerów dla stażystów i praktykantów – czy muszą posiadać upoważnienia?

Zgodnie z ustawą, dane mogą przetwarzać jedynie osoby posiadające imienne upoważnienie .

Ustawa o ochronie danych osobowych, nie zajmuje się tym, czy osoba przetwarzająca dane jest pracownikiem etatowym, stażystą, czy też pracownikiem świadczącym dla nas usługi w ramach innej umowy. Ustawa mówi, że osoba ta musi posiadać upoważnienie, a rozporządzenie precyzuje, że należy również nadawać uprawnienia w systemie informatycznym (oczywiście tylko w wypadku gdy osoba przetwarzająca dane z niego korzysta).

Wiadomo, że ze stażystami sprawa nie jest taka prosta. Najczęstsze problemy:

  • Stażysta nie jest naszym pracownikiem. Jak pisałem powyżej, nie ma to znaczenia – musi posiadać analogiczne uprawnienia jak „zwykli” pracownicy.
  • Stażysta nie ponosi pełnej odpowiedzialności. Problem leży nie w tym, czy należy dla niego stworzyć identyfikator w systemie, ale czy w ogóle dopuścić go do pracy w systemie. Jeżeli Zarząd podejmuje decyzję, że stażyści mogą pracować w systemie, to bezwzględnie należy dla nich utworzyć konta użytkowników.

Zagadnienia związane z zatrudnianiem stażystów, praktykantów i innych osób, które nie są naszymi etatowymi pracownikami, bardzo często sprawiają dużo problemu Administratorom. Uważam, że rozwiązanie jest tu tylko jedno – nie należy dla tych osób stwarzać wyjątków, traktujemy ich tak jakby byli naszymi pracownikami.

Oczywiście w wypadku dużej rotacji pracowników, konieczność ciągłego tworzenia kont w systemie może się spotkać z pewnym oporem ze strony administratorów systemów. Można pomyśleć o zatrudnieniu dodatkowych administratorów, zakupie oprogramowania ułatwiającego tworzenie kont, ale nie wolno zrezygnować z tworzenia osobnego konta dla każdej osoby mającej dostęp do systemu.

Czy dane z Płatnika podlegają rejestracji u GIODO?

Czyje dane będą w zbiorze?

  • pracowników – zbiorów danych przetwarzanych w celach związanych z zatrudnieniem własnych pracowników nie zgłaszamy.
  • przetwarzasz dane na zlecenie (biuro podatkowe, itp.) – to jest powierzenie danych do przetworzenia (art.31 UODO). Zgłoszenie jest problemem administratora danych. Powiernik jedynie podpisuje umowę.
  • innych osób, na podstawie odrębnych ustaw (np. podopieczni Ośrodka Pomocy Społecznej)–prawdopodobnie zbiór jest już zgłoszony, tzn. istotna jest podstawa prawna na podstawie której przetwarzamy dane. Jeżeli te same dane przetwarzamy przez dwie aplikacje, to nie musimy zgłaszać ich dwukrotnie (na tej samej zasadzie nie zgłaszamy danych przechowywanych w aktach papierowych, jako innego zbioru w stosunku do tych samych danych przetwarzanych w systemie komputerowym) – ale uwzględniamy te systemy w części E zgłoszenia.

Co z bazami danych osób, którzy biorą udział w programach lojalnościowych, bo wówczas apteka przekazuje dane osobowe hurtowniom? Co prawda znawcy przedmiotu mówią, że apteka nalicza tylko punkty na kartach klientów, ale nie wie jaka osoba się pod nią kryje. Z tego co wiem jednak większość aptek tworzy bazę osobową, z której nie musi korzystać przy obsłudze programu lojalnościowego, ale ją przecież ma i pytanie czy może ją mieć? Czy własny program lojalnościowy (wewnątrz apteki jest dozwolony), a ten łączący wiele aptek i hurtownie już nie? Istnieje przekonanie, że legalne pozostają wszystkie programy lojalnościowe i akcje marketingowe w których apteka reklamuje samą siebie (ale nie wolno jej reklamować np leku).

Ustawa dopuszcza oczywiście możliwość przekazywania danych pomiędzy administratorami danych. Może się to odbywać na zasadzie udostępnienia lub powierzenia danych do przetwarzania.

W wypadku wszelkiego rodzaju programów lojalnościowych, naturalne wydaje się oparcie o instytucję powierzenia danych do przetworzenia (art. 31 uodo). Możemy mieć do czynienia z sytuacją, gdy administratorem danych osobowych przetwarzanych w celach marketingowych nie będzie apteka, a organizator akcji promocyjnej i to na nim będzie spoczywał obowiązek rejestracji zbioru danych. Przykładowo, apteka zbierając dane klientów i ich zgody na przetwarzanie danych osobowych, będzie występować w imieniu organizatora z którym podpisze umowę powierzenia danych. W takiej sytuacji, apteka nie zgłasza zbioru i nie jest jego administratorem. Nie zwalnia to jednak apteki z dopełnienia innych obowiązków: zabezpieczenia danych, wystawiania upoważnień, itd.

Apteka przetwarza wówczas dane nie będąc ich administratorem, a szczegółowe obowiązki z tym związane, zapisuje się zwykle w umowie. Po zakończeniu obowiązywania umowy, wszystkie kopie danych, muszą zostać zniszczone lub zwrócone administratorowi danych (organizatorowi akcji promocyjnej, programu lojalnościowego, itp).

Należy jeszcze zwrócić uwagę na wszelkie informacje handlowe wysyłane drogą elektroniczną (np. wiadomość e-mail, strona internetowa po zalogowaniu się osoby).  Osoba do której kierujemy takie informacje, musi najpierw wyrazić zgodę na ich otrzymywanie i nie jest to ta sama zgoda co zgoda na przetwarzanie danych osobowych. Szczegóły określa ustawa o świadczeniu usług drogą elektroniczną.

Ustawa o ochronie danych osobowych nakłada na przedsiębiorców szereg obowiązków i ograniczeń. Nie oznacza to, że prowadzący aptekę musi znać wszystkie niuanse ustawy – na rynku jest coraz więcej firm i osób specjalizujących się w ochronie danych, którym można zlecić te zadania.

Czy zgodnie z obowiązującym prawem, apteka musi rejestrować bazę danych osobowych w GIODO? Są to co prawda dane wrażliwe, jednak z drugiej strony – z tego co wiem – bazy danych z pacjentami w ochronie zdrowia zwolnione są z takiego wymogu, a więc także dotyczy to aptek. Z trzeciej strony baza taka służyć ma obsłudze pacjentów np. wydawaniu leków na receptę, ale już wykorzystywanie jej do innych celów np. wysyłki kartek okolicznościowych nie służy „statutowym” działaniom apteki, a więc czy ta sama baza raz musi być rejestrowana w GIODO a raz nie musi. Z czwartej strony oczywiście większość pacjentów nie zgodzi się, żeby bazę służącą wydawaniu recept wykorzystywać do celów marketingowych, a więc w zasadzie powinna powstać druga baza tylko z tymi osobami, które się zgodzą, rozumiem, że wówczas taką „podbazę” trzeba zgłaszać do GIODO. Z piątej strony, o ile znam GIF, to nie zgodzi się na tworzenie takich baz do potrzeb marketingowych, bo apteki nie są po to, aby prowadzić działalność reklamową (nawet samoreklamową). Rozumiem, że takie same ograniczenia towarzyszą wysyłce elektronicznej?

Ustawa o ochronie danych osobowych nakłada na przetwarzających te dane szereg obowiązków. Nie udam się ich dopełnić, jeżeli nie zapoznamy się z podstawowymi pojęciami wprowadzonymi w ustawie.

Nie stworzymy wymaganych dokumentów, takich jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym i nie przygotujemy zgłoszenia zbioru, jeżeli nie będziemy prawidłowo rozumieć terminów: dane osobowe, zbiór danych, administrator danych, itd.

Już samo pojęcie zbioru danych osobowych stwarza pewne problemy i jest często mylone z bazą danych. Baza danych to nie jest to samo co zbiór danych osobowych!

Należy wyraźnie odróżnić zbiór danych, od jego fizycznej reprezentacji w bazie danych programu w którym dane przetwarzamy. Ten sam zbiór może być przetwarzany jednocześnie w kilku bazach (lub programach) a nawet w formie akt papierowych. W jednej bazie danych programu komputerowego możemy również przetwarzać kilka zbiorów danych. Co więcej, ta sama informacja, może jednocześnie należeć do różnych zbiorów danych osobowych.

Najlepiej zapomnieć na chwilę o programach komputerowych, bazach danych i zastanowić się jakie dane, w jakim celu i w oparciu o jaką przesłankę uchylającą zakaz przetwarzania (art.23 ust.1 ustawy o ochronie danych osobowych), będą u nas przetwarzane. Przykładowo, możemy stwierdzić, że przetwarzamy dane osobowe w pięciu zbiorach:

–       Dane pracowników – art.23 ust.1 pkt 2-  „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w związku z realizacją recepty  – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celu wystawienia faktury – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zbiór zwolniony z rejestracji.

–       Dane przetwarzane w celach marketingowych – art.23 ust.1 pkt 1- „osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zbiór zgłaszamy.

–       Dane przetwarzane w celu dostawy towaru do klienta – art.23 ust.1 pkt 3- „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Zbiór zgłaszamy.

To w ilu i jakich programach i bazach danych są przetwarzane dane z tych zbiorów, nie jest dla identyfikacji zbiorów istotne. Informację o tym będziemy musieli jednak później umieścić w naszej polityce bezpieczeństwa.

Zbiory danych związane z realizacją recept nie podlegają rejestracji. Podobnie, nie podlegają jej zbiory danych tworzone wyłącznie w celu wystawienia faktury, zbiory danych przetwarzanych w związku z zatrudnieniem, itd.

Podkreślmy, że ewentualnej rejestracji podlega zbiór danych (nie „dane”, nie „baza danych”). Dlatego nie możemy twierdzić, że ta sama baza danych raz musi być zgłaszana a raz nie musi, gdyż zgłaszany jest zbiór danych osobowych. Nawet jeżeli, dla ułatwienia, dane są wprowadzane do systemu tylko jeden raz, to mogą być przetwarzane w różnych zbiorach, np. różniących się celem przetwarzania.

To, że zbiór danych osobowych jest zwolniony z rejestracji, nie oznacza, że do przetwarzania danych w tym zbiorze nie znajdują zastosowania przepisy ustawy, a administrator danych jest zwolniony z pozostałych spoczywających na nim obowiązków. W szczególności administrator musi opracować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, dopełnić obowiązku zabezpieczenia danych, prowadzenia dokumentacji, wydawania upoważnień, itd.

10 niezmiennych reguł bezpieczeństwa

W 2000 roku Scott Culp z Microsoft Security Response Center opublikował „10 niezmiennych reguł bezpieczeństwa”. Czy pomimo upływających lat są one nadal obowiązujące? Oceńcie sami.
W tym samym roku opublikowano „10 niezmiennych reguł administratora bezpieczeństwa”. Na pewno warto się z nimi zapoznać i pamiętać o nich w codziennej pracy.

10 niezmiennych reguł bezpieczeństwa:

1-Jeżeli zły facet może Cię zmusić do zainstalowania jego programu na Twoim komputerze, to nie jest już Twój komputer.

Law #1: If a bad guy can persuade you to run his program on your computer, it’s not your computer anymore.

2-Jeżeli zły facet może zmodyfikować system operacyjny na Twoim komputerze, to nie jest już Twój komputer.

Law #2: If a bad guy can alter the operating system on your computer, it’s not your computer anymore

3-Jeżeli zły facet ma nieograniczony dostęp fizyczny do Twojego komputera, to nie jest już Twój komputer.

Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore

4-Jeżeli dopuścisz, by zły facet umieścił program na Twojej stronie internetowej, to nie jest już Twoja Stronia.

Law #4: If you allow a bad guy to upload programs to your website, it’s not your website any more

5-Słabe hasła niwelują silne zabezpieczenia

Law #5: Weak passwords trump strong security

6-Komputer jest tylko na tyle bezpieczny, na ile administrator jest godny zaufania.

Law #6: A computer is only as secure as the administrator is trustworthy

7-Zaszyfrowane dane są jedynie tak bezpieczne, jak bezpieczny jest klucz deszyfrujący.

Law #7: Encrypted data is only as secure as the decryption key

8-Używanie nieaktualizowanego oprogramowania antywirusowego jest tylko nieznacznie lepsze niż nieużywanie takiego oprogramowania.

Law #8: An out of date virus scanner is only marginally better than no virus scanner at all

9-Całkowita anonimowość jest niepraktyczna, zarówno w życiu jaki i w Internecie.

Law #9: Absolute anonymity isn’t practical, in real life or on the Web

10-Technologia nie stanowi panaceum.

Law #10: Technology is not a panacea

Oryginalny, pełny tekst pod adresem:
http://technet.microsoft.com/pl-pl/library/cc722487%28en-us%29.aspx

10 niezmiennych reguł administratora bezpieczeństwa:

1-Nikt nie wierzy, że to właśnie jemu przydarzy się coś złego, dopóki to się nie stanie.

Law #1: Nobody believes anything bad can happen to them, until it does

2-Bezpieczeństwo funkcjonuje tylko wtedy, gdy “bezpieczny sposób” oznacza również “łatwy sposób”.

Law #2: Security only works if the secure way also happens to be the easy way

3-Jeżeli nie instalujesz na bieżąco poprawek bezpieczeństwa, Twoja sieć już niedługo przestanie należeć do Ciebie.

Law #3: If you don’t keep up with security fixes, your network won’t be yours for long

4-Na niewiele zda się instalowanie poprawek bezpieczeństwa na komputerze, który nie był zabezpieczony od początku.

Law #4: It doesn’t do much good to install security fixes on a computer that was never secured to begin with

5-Nieustanna czujność jest ceną bezpieczeństwa.

Law #5: Eternal vigilance is the price of security

6-Naprawdę istnieje ktoś, kto próbuje odgadnąć Twoje hasła.

Law #6: There really is someone out there trying to guess your passwords

7-Najbardziej bezpieczna sieć, to dobrze administrowana sieć.

Law #7: The most secure network is a well-administered one

8-Stopień trudności obrony sieci jest wprost proporcjonalna do jej złożoności.

Law #8: The difficulty of defending a network is directly proportional to its complexity

9-W bezpieczeństwie nie chodzi o unikanie ryzyka, a o zarządzanie ryzykiem.

Law #9: Security isn’t about risk avoidance; it’s about risk management

10-Technologia nie stanowi panaceum.

Law #10: Technology is not a panacea

Oryginalny, pełny tekst pod adresem:

http://technet.microsoft.com/en-us/library/cc722488.aspx

 

 

Sprawozdanie GIODO za 2010 rok

Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:

  • Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
  • Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
  • Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
  • Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
  • Brak szyfrowania danych przesyłanych w sieci publicznej.
  • Nieprzestrzeganie zasady ograniczenia czasowego.
  • Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
  • Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
  • Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
  • Niekompletna dokumentacja.
  • Brak procedur przechowywania danych archiwalnych.
  • Niewyznaczenie ABI.
  • Dopuszczenie do przetwarzania danych osób nieupoważnionych.
  • Brak umów powierzenia.
  • Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
  • Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
  • Pozyskiwanie zgody na marketing własnych produktów.
  • Niedopełnienie obowiązku informacyjnego.
  • Niezarejestrowanie zbioru.
  • Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
  • Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
  • Zatrzymywanie dowodów i legitymacji jako zastawu.
  • Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
  • Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
  • Publikowanie danych osobowych na stronie internetowej parafii.
  • Stosowanie monitoringu w sposób naruszający prywatność osób.
  • Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
  • Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
  • Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
  • Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
  • Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
  • Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
  • Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
  • Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
  • Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.

 

Bardzo pozytywne zaskoczenie przy rejestracji zbioru danych.

Zgłoszenie zbioru, niemal rutynowe działanie osób zajmujących się ochroną danych osobowych, wymagało zawsze ogromnej cierpliwości. Po wysłaniu wypełnionego formularza rejestracyjnego, należało odczekać kilka miesięcy zanim zbiór został zarejestrowany. Stanowiło poważny problem dla przedsiębiorców. W jaki sposób mieli przetwarzać dane wrażliwe, jeżeli dla rozpoczęcia przetwarzania wymagane jest wcześniejsze zarejestrowanie zbioru? Również przy zgłaszaniu danych zwykłych można było odczuć lekki dreszczyk emocji – inwestuję pieniądze, a za kilka miesięcy okaże się, że muszę wstrzymać działalność, bo GIODO nie zarejestruje mi zbioru… A urzędy? Sejm uchwala nowelizację i za miesiąc urząd ma przetwarzać dane wrażliwe… A gdzie wdrożenie oprogramowania? Przygotowanie dokumentacji? I wreszcie, oczekiwanie na zarejestrowanie zbioru?

Wydawało się, że Biuro GIODO nigdy nie wygrzebie się spod góry zgłoszeń. I co? Dało się! Moje ostatnie zgłoszenie (zbioru zwykłego), zostało zarejestrowane w ciągu ośmiu(!) dni od wpłynięcia zgłoszenia. Gratulacje dla Biura GIODO!

W tym tygodniu wysyłam zgłoszenie zbioru z danymi wrażliwymi. Mam nadzieję, że rejestracja przebiegnie równie sprawnie.

Naprawdę, dawno mnie w działaniu polskich urzędów, nic tak nie zaskoczyło 🙂

 

 

Międzynarodowa Konferencja o Ochronie Danych Osobowych

21 września, odbędzie się Międzynarodowa Konferencja o Ochronie Danych Osobowych. Więcej informacji na stronie konferencji.

„Konferencja jest organizowana przez Ministerstwo Spraw Wewnętrznych i Administracji i Generalnego Inspektora Ochrony Danych Osobowych. Partnerami Konferencji są Węgierski Parlamentarny Rzecznik Ochrony Danych i Wolności Informacji, Węgierskie Ministerstwo Administracji Publicznej i Sprawiedliwości, Rada Europy, Komisja Europejska, Akademia Prawa Europejskiego i Hiszpańskie Ministerstwo Sprawiedliwości.”

„Cele Konferencji obejmują:

  •  zwrócenie uwagi na obecne i przyszłe wyzwania w zakresie ochrony danych;
  • wywołanie debaty publicznej na temat praktycznych implikacji polityk ochrony danych;
  • przeanalizowanie przyszłych scenariuszy w obszarach związanych z ochroną danych, takich jak bezpieczeństwo i zaufanie do systemów informatycznych (IT security and trust), zastanowienie się nad implikacjami w zakresie ochrony prywatności, jakie niesie ze sobą cloud computing;
  • zaangażowanie interesariuszy politycznych w dyskusje na poziomie eksperckim z prawnikami;
  • wyciągnięcie wniosków z dyskusji konferencyjnych.”

 

Warsztaty z ochrony danych dla przedsiębiorców

W dniu 20 lipca 2011 r. w Warszawie  odbędą się warsztaty podsumowujące projekt partnerski pt.: „Zwiększanie świadomości w zakresie ochrony danych osobowych wśród przedsiębiorców  funkcjonujących na rynkach Unii Europejskiej”

Więcej informacji na stronie GIODO – http://www.giodo.gov.pl/1520101/id_art/4200/j/pl/

FREE ISO27k Toolkit

W Internecie można znaleźć mnóstwo materiałów na temat bezpieczeństwa informacji i normy ISO 27001. Jak dla mnie jest to wręcz klęska urodzaju – materiałów jest tak dużo, że można stracić tygodnie na poszukiwaniu czegoś wartościowego i oryginalnego. Na kolejnych stronach powielane są te same informacje, a opanowane przez pozycjonerów Google nie pomagają nam w jakiś szczególny sposób wyszukać użytecznych informacji.

Dość często trafiają do mnie prośby o podzielenie się materiałami na temat audytu bezpieczeństwa informacji i normy ISO 27001. A ja niezmiennie odpowiadam – „FREE ISO27k Toolkit”! Na stronie http://www.iso27001security.com/ znajdziemy ogromną ilość przydatnych materiałów. Tworzonych przez praktyków, którzy zdecydowali się nimi podzielić ze społecznością ludzi zajmujących się bezpieczeństwem informacji. Znajdziemy tutaj:

  • Opisy norm związanych z bezpieczeństwem informacji
  • Zamknięte forum dla profesjonalistów
  • FAQ
  • Mnóstwo artykułów
  • Recenzje książek i linki do innych zasobów w Internecie
  • No i przede wszystkim –„ Toolkit”. Zestaw dokumentów, formularzy, arkuszy, schematów, list kontrolnych, a nawet gotowa prezentacja na szkolenie (niestety jedynie po angielsku) – który możemy pobrać również w formie całego archiwum. Pojedyncze dokumenty zostały również przygotowane w wersji polskojęzycznej.

Wiem, że również kilka osób z Polski zaangażowało się w pracę w tym projekcie. Trzymam za nich kciuki. Mam nadzieję, że dzięki ich pracy powstanie większa ilość przetłumaczonych na polski dokumentów i wszyscy na tym skorzystamy.

Zachęcam do zapoznania się z projektem http://www.iso27001security.com (i aktywnego udziału w jego pracach).

Innowacja w działaniu infolinii GIODO

Urzędnicy Generalnego Inspektora, twierdzili wielokrotnie w trakcie ostatnich konferencji, że nie jest zadaniem Biura GIODO wydawanie interpretacji i porad w indywidualnych sprawach związanych z ochroną danych osobowych. I niestety, w ostatnich dniach przekonaliśmy się o tym w sposób bardzo bolesny. Osoby dzwoniące pod nr infolinii GIODO, były zmuszone do wysłuchania kilkuminutowego komunikatu o tym, że większość informacji można znaleźć na stronie GIODO. Nie tylko banalna treść, ale i sposób czytania komunikatu świadczy o tym, że jedynym celem tej „innowacji” było przedłużenie komunikatu i zniechęcenie natrętnych obywateli do zawracania głowy bardzo ważnym urzędnikom, bardzo ważnego urzędu. Gdy już poświęciłem kilka minut na wysłuchanie komunikatu i miałem zostać połączony z konsultantem – usłyszałem sygnał zajętości linii i całą zabawę mogłem rozpocząć od początku.

Czyżby jakaś tajna zmowa GIODO z operatorami telefonicznymi? Może będą odprowadzać jakąś część przychodów z tej linii, za rzecz Biura GIODO? Przecież oddziały terenowe trzeba będzie jakoś sfinansować…

Pamiętam, że wiele lat temu urzędy skarbowe prowadziły podobną politykę. Chcesz otrzymać interpretację? Idź do biura rachunkowego. Na szczęście sytuacja się zmieniła i obecnie urzędnicy us odpowiadają na pytania. A urzędnicy GIODO – nie. Chcesz opinię? Idź do kancelarii prawnej. Zmowa prawników?

Dodatkowy problem, to że pracownicy Kancelarii Biura GIODO nie znają ustawy o dostępie do informacji publicznej. Gdy tylko powiedziałem, że chcę otrzymać informację publiczną, dowiedziałem się, że powinienem zwrócić się w formie pisemnej. Nie zdążyłem nawet zadać pytania! Drodzy urzędnicy, jesteście zobowiązani do udzielenia informacji które posiadanie niezwłocznie! Również w formie ustnej! Co odpowiedział pracownik Kancelarii, gdy powiedziałem, że ustawa nie wymaga formy pisemnej? Odesłał mnie do niedziałającej infolinii! To, moim zdaniem, jest ograniczenie konstytucyjnego prawa obywateli do informacji.

Na szczęście udało mi się skontaktować z Rzecznikiem Prasowym GIODO i otrzymałem nie tylko potrzebne mi informacje, ale również dodatkowe materiały. Tylko, że to chyba nie na tym powinno polegać, że jeżeli chcemy otrzymać jakiekolwiek informacje z Biura GIODO, musimy kontaktować się z Rzecznikiem Prasowym…

Apeluję do Generalnego Inspektora: Proszę nie zamykać się przed obywatelami i to w sposób prezentujący wyjątkową arogancję władzy! Chcemy żeby nasze dane były chronione a prawo przestrzegane, ale niech Urząd Generalnego Inspektora Ochrony Danych Osobowych będzie urzędem dla obywateli a nie tylko miejscem pracy dla urzędników!