środa, 7 czerwca 2017

Instrukcja zarządzania systemem informatycznym

Kontynuując temat z poprzednich wpisów (o polityce bezpieczeństwa czytaj tutaj, a o danych osobowych tutaj), postaram się przedstawić podstawy budowy i tworzenia instrukcji zarządzania systemem informatycznym w NGO.


Szczegółowe wytyczne do opracowania instrukcji zarządzania systemem informatycznym znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024, dalej jako rozporządzenie).

Zgodnie z § 5 rozporządzenia, w instrukcji zarządzania systemem informatycznym muszą znaleźć się informacje o:
  1. dostępie do danych osobowych, tj:
    • określenie w jaki sposób będziemy nadawać uprawnienia do przetwarzania danych,
    • jak będziemy rejestrować osoby uprawnione w systemie informatycznym,
    • kto będzie odpowiedzialny za te czynności;
  2. sposobach uwierzytelnienia,
  3. procedurach rozpoczęcia, zawieszenia i zakończenia pracy z systemem,
  4. tworzeniu kopii zapasowych zarówno zbiorów danych jak i programów do nich stosowanych,
  5. przechowywaniu: elektronicznych nośników z danymi osobowymi (np.: cd-rom, pendrive itp.) i kopii zapasowych z pkt. 4), tj:
    • sposobie przechowywania,
    • miejscu przechowywania,
    • okresie przechowywania;
  6. zabezpieczeniu systemu przed:
    • złośliwym oprogramowaniem,
    • awarią;
  7. sposobie ewidencjonowania odbiorców, chyba że zbiór jest ogólnie dostępny
  8. przeglądach i konserwacji systemu i nośników informacji.

Poziomy bezpieczeństwa

Rozporządzenie przewiduje 3 poziomy bezpieczeństwa:

A. podstawowy,
B. podwyższonym,
C. wysoki.

Konieczność stosowania każdego z nich zależy od kilku przesłanek. Do najmniej skomplikowanego poziomu - podstawowego możemy się ograniczyć tylko, gdy jednocześnie:
  • nie zbieramy danych wrażliwych (są to dane wymienione w art. 27 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133 poz. 8831), są to min. dane dotyczące: pochodzenia rasowego, poglądów politycznych, wyznania itp.,
  • urządzenie w którym przetwarzamy dane osobowe nie jest połączone z siecią publiczną (Internet).

Poziom drugi możemy zastosować gdy:
  • zbieramy dane wrażliwe,
  • ale nadal nie jesteśmy połączeni z siecią publiczną.

Wreszcie najwyższy poziom wysoki, będzie wymagany zawsze gdy urządzenie z danymi będzie przyłączone do sieci publicznej. W praktyce skazuje nas to na stosowanie poziomu wysokiego, gdyż obecnie trudno o przetwarzanie danych offline. Chyba, że przeznaczymy jeden komputer tylko do opracowywania danych osobowych i nie będzie on fizycznie podłączony do Internetu w żaden sposób. Wówczas możemy pozwolić sobie na poziom podstawowy (który znalazł się we wzorze).

Wymogi co do każdego z tych poziomów znajdują się w załączniku do rozporządzenia, wiec w praktyce łatwo je zastosować (przepisać do instrukcji).

Odnotowanie przetwarzania danych przez system


Kolejnym wymogiem rozporządzenia jest zapewnienie odnotowywanie zmian w zgromadzonych danych. Należy podkreślić, że odnotowywanie musi być zapewnione przez system, czyli nie poprzez ręczne wprowadzenie, ale w sposób zautomatyzowany co do dwóch kategorii:
  • daty pierwszego wprowadzenia danych do systemu;
  • identyfikator użytkownika wprowadzającego, czyli kto wprowadził dane.

Poprawna konfiguracja MS Office i używanie profilów użytkowników pozwalają na wpisywanie tych danych w informacjach o konkretnym dokumencie. Nie ma więc z tym problemu.

Bardziej skomplikowany jest wymóg odnotowywania zmian co do dalszych kategorii:
  • źródła danych, gdy pochodzą nie od osoby której dotyczą (czyli gdy np. pozyskaliśmy je od jakiegoś zewnętrznego podmiotu),
  • informacji o udostępnieniu danych „na zewnątrz”, czyli nie osobie której dotyczą, ani osobach przetwarzających w organizacji, tylko innym – odrębnym/ zewnętrznym podmiotom,
  • sprzeciwu osoby, której dane przetwarzamy wobec wykorzystywania danych w celach marketingowych lub wobec dalszego przekazywania.

Te trzy kategorie nie zawsze będą w ogóle występować  w naszych zbiorach. Można wręcz założyć, że na poziomie prostego gromadzenia danych nie będzie potrzeby ich odnotowywania. Gdyby jednak było inaczej, należy zapewnić automatyczne odnotowywanie za pomocą specjalnego oprogramowania lub każdorazowe ręcznie odnotowywać np. w oddzielnym dokumencie.

Dodatkowo dla każdej osoby, której dane osobowe zostały zebrane należy zapewnić możliwość wydrukowania raportu zawierającego powyższe informacje. Należy więc zrobić szablon z podanymi wyżej kategoriami danych, chyba że posiadamy system do obsługi tych danych.

Wdrożenie


Panują podobne zasady jak w przypadku polityki bezpieczeństwa. W praktyce oba dokumenty zwykle są wdrażane razem. O szczegółach można przeczytać w poprzednim artykule.

Załączony poniżej wzór został przygotowany na bardzo podstawowym poziomie (zawiera min. najniższy poziom bezpieczeństwa z rozporządzenia) i powinien pełnić rolę szablonu, który dopiero po rozbudowie i uwzględnieniu konkretnego stanu faktycznego spełni wymogi przepisów dotyczących ochrony danych osobowych.

W kolejnym, ostatnim już, wpisie na temat danych osobowych postaram się poruszyć temat szykującej się rewolucji w zakresie ochrony danych. Związana jest z nowymi unijnymi przepisami, wdrażanymi przez Rozporządzenie o Ochronie Danych Osobowych (RODO).


Brak komentarzy:

Prześlij komentarz