Ochrona Danych Osobowych: Instrukcja zarządzania systemem informatycznym

22 07 2010

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych stanowi jeden z dwu podstawowych dokumentów opisujących sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę.

Wymogi w zakresie dokumentacji przetwarzania danych osobowych określone zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Polityka ochrony danych osobowych ma charakter ewidencyjny i wymaga starannego opisania bazy służącej do przetwarzania danych osobowych (budynki, pomieszczenia, zbiory danych, programy i in.).

Z kolei instrukcja, zgodnie z brzmieniem paragrafu 5 rozporządzenia zawiera

w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Procedury, o których mowa w pkt 1 dotyczą przede wszystkim wskazania osób uprawnionych, zgodnie z wykonywanymi obowiązkami oraz przydziałami czynności na stanowiskach, na których występuje przetwarzanie danych osobowych (zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych) przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się

w systemach informatycznych).

Osoby odpowiedzialne za przetwarzanie danych osobowych powinny, zgodnie z art. 37 ustawy otrzymać imienne upoważnienia od administratora danych (dyrektora). Administrator danych zobowiązany jest prowadzić ewidencję osób upoważnionych (art. 39 ust. 1 i 2 ustawy).

Wymagania określone w pkt 2 dotyczą głównie sposobu ustalania identyfikatorów, w tym haseł (kodów) dostępu, ich nadawania użytkownikom programów komputerowych oraz okresowej zmiany tych haseł.

W przypadku podwyższonego i wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych, do uwierzytelniania użytkowników używa się haseł składających się co najmniej z 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne. Zmiana każdego hasła następuje nie rzadziej niż co 30 dni.

Metody i środki uwierzytelnienia (pkt 2) dotyczą identyfikatorów użytkowników oraz haseł dostępu do programów.

Identyfikator użytkownika to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

Każda osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym powinna posiadać osobisty, odrębny identyfikator, którego wprowadzenie do programu lub systemu potwierdza uprawnienie użytkownika do przetwarzania danych w tym programie (systemie).

Identyfikator osoby, która utraciła uprawnienia do przetwarzania danych powinien być anulowany i nie może być przydzielony innej osobie.

Uwierzytelnianie użytkowników następuje po wprowadzeniu hasła dostępu.

Hasło dostępu jest ciągiem znaków literowych, cyfrowych lub innych, znanym jedynie osobie uprawnionej (osobom uprawnionym) do pracy w systemie informatycznym.

W przypadku wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym hasło składa się co najmniej 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne. Poziom wysoki występuje w jednostkach, w których przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (internet).

Zmiana hasła powinna następować nie rzadziej niż co 30 dni.

Dla wszystkich użytkowników powinna być ustalona kolejność czynności rozpoczynania pracy z użyciem wspomnianych wyżej identyfikatorów i haseł, zawieszania (np. w przypadku opuszczenia pomieszczenia przez użytkownika) oraz zakończenia pracy (zamknięcia programu).

Zgodnie z wymogami pkt 6 wytycznych do instrukcji należy określić sposób zabezpieczenia systemu informatycznego.

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności, przed:

1)      działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do sytemu informatycznego,

2)      utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

Instrukcja powinna określać również sposób realizacji wymogu zapewnienia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowywania przez system informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy*), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych.

Procedury wykonywania przeglądów i konserwacji systemów  oraz nośników informacji służących do przetwarzania danych powinny uwzględniać m.in. zasady udostępniania komputerów i nośników osobom i podmiotom wykonującym te czynności w sposób zabezpieczający zawarte tam dane przed zniszczeniem bądź nieuprawnionym wykorzystaniem, zgodnie z wymogami środków bezpieczeństwa.

Opracowując instrukcję należy uwzględnić środki bezpieczeństwa stosowane w systemach informatycznych przetwarzających dane osobowe (załącznik do rozporządzenia MSWiA).

Należy przyjąć, że w jednostkach w których dane płatnika składek ZUS, dane SIO i inne przekazywane są do sieci publicznej za pośrednictwem internetu, obowiązuje wysoki poziom bezpieczeństwa.

Poziom ten obejmuje również środki bezpieczeństwa wymagane na poziomie podstawowym i podwyższonym i zawiera łącznie następujące wymagania:

  • Obszar, o którym mowa w § 4 pkt 1 rozporządzenia (budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

  • Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

  • W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.

  • Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:

    • a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;

    b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

  • System informatyczny służący do przetwarzania danych osobowych zabezpiecza się,

    w szczególności przed:

    • 1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

    2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

  • Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  • W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 8 znaków i zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
  • Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  • Kopie zapasowe:

    • a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

    b) usuwa się niezwłocznie po ustaniu ich użyteczności.

  • Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
  • Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

    • 1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

    2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

    3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

  • Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.
  • Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.
  • System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
  • W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one:

    • a)      przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

    b)      kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

  • Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

    • *) odbiorca danych - każdy, komu udostępnia się dane osobowe, z wyłączeniem:

    a) osoby, której dane dotyczą,

    b) osoby upoważnionej do przetwarzania danych,

    c) przedstawiciela, o którym mowa w art. 31a,

    d) podmiotu, o którym mowa w art. 31,

    e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,  (art. 7 pkt 6 ustawy o ochronie danych osobowych)

    « Ozdoby i dekoracje świąteczne, tradycja kontra chińszczyzna - na co postawić? Geografia Europy »


    Opcje

    Info

    Odpowiedz

    Możesz używać tagów : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>