Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik
Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT. 3. Zasady bezpieczeństwa infrastruktury IT 4. Aspekt prawny polityki bezpieczeństwa 5. Sposoby zabezpieczeń szkolnej infrastruktury. 6. Analiza ryzyka w zakresie bezpieczeństwa infrastruktury IT. 7. Projektowanie elementów systemu i procedur bezpieczeństwa szkolnej sieci informatycznej.
Krótka prezentacja Kilka słów o sobie Jaka szkoła? Autorefleksja w zakresie stanu realizacji bezpieczeństwa informatycznego
Bezpieczeństwo to ciągła zmiana a zarządzanie bezpieczeństwem to racjonalne kontrolowanie tych zmian
Bezpieczeństwo to przede wszystkim sprawnie działający proces
Wdrażanie nowych technologii w szkole to proces Proces zaplanowany sprzęt monitorowany usługi/programy długofalowy ludzie EFEKTY źródło: MS Office
Bezpieczeństwo organizacyjne ma to do siebie, że zapomina się o jego istnieniu tak długo, jak długo nic złego się nie dzieje
Najsłabszym ogniwem w bezpieczeństwie są ludzie
Inicjatywa na rzecz bezpieczeństwa musi pochodzić z góry, czyli od dyrektora
Akty prawne Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926)
Akty prawne Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy
Model zarządzania bezpieczeństwem Źródło: Aleksander Poniewierski Strategia i polityka bezpieczeństwa systemów informatycznych
Model zarządzania bezpieczeństwem Strategia bezpieczeństwa SI DLACZEGO? Polityka bezpieczeństwa SI CO? Instrukcja SI JAK?
Części składowe strategii bezpieczeństwa SI Identyfikacja potrzeb Identyfikacja perspektyw Określenie celu Określenie sposobu realizacji: określenie odpowiedzialności i narzędzi wyznaczenie etapów określenie czynników sukcesu
Części składowe polityki bezpieczeństwa analiza dokumentu Przepisy ogólne Przedmiot ochrony Cel polityki bezpieczeństwa Odpowiedzialność za bezpieczeństwo informacji
Części składowe polityki bezpieczeństwa analiza dokumentu Wykaz zbiorów danych osobowych (programy) Opis struktury danych Sposób przepływu danych pomiędzy poszczególnymi systemami Wykaz budynków i pomieszczeń Środki techniczne i organizacyjne niezbędne dla zapewnienia POUFNOŚCI, INTEGRALNOŚCI, ROZLICZALNOŚCI
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 1. procedury nadawania uprawnień do przetwarzania danych 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy 4. procedury tworzenia kopii zapasowych
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 5. sposób, miejsce i okres przechowywania nośników i kopii zapasowych 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych 7. sposób realizacji wymogów, odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Dane osobowe (art.6.) wszelkie informacje dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, osoba możliwa do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań
Funkcje Administrator danych osobowych (ADO) organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. 21 Tadeusz Nowik
Funkcje Administrator bezpieczeństwa informacji (ABI) osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną.
Funkcje Administrator systemu informatycznego (ASI) informatyk odpowiadający za system informatyczny, zarządzający tym systemem.
Zabezpieczenie danych Środki techniczne Środki organizacyjne
Środki techniczne 1. Stosowanie odrębnych identyfikatorów (loginów) dla użytkowników systemów informatycznych. 2. Konieczność uwierzytelnienia (podania hasła) do systemu informatycznego. 26 Tadeusz Nowik
Środki techniczne 3. Odpowiednio skomplikowane i złożone hasła i ich zmiana. Poziomy bezpieczeństwa Podstawowy Podwyższony Wysoki 27 Tadeusz Nowik
Środki techniczne 4. Zabezpieczenie systemu informatycznego przed szkodliwym oprogramowaniem. 28 Tadeusz Nowik
Środki techniczne 5. Zabezpieczenie systemu informatycznego przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 29 Tadeusz Nowik
Środki techniczne 6. Przechowywanie kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. 7. Konieczność zastosowania środków ochrony kryptograficznej wobec przetwarzanych danych osobowych na laptopach. 8. Trwałe usuwanie danych z nośników. 9. Stosowanie wygaszaczy ekranów z wylogowaniem użytkownika. 30 Tadeusz Nowik
Środki organizacyjne 1. Zamykanie pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe na klucz. 2. Zamykanie szaf, w których przechowywane są dane osobowe na klucz. 3. Nie pozostawianie bez opieki dokumentów zawierających dane osobowe. 4. Powołanie Administratora Bezpieczeństwa Informacji ABI. 5. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych. 6. Szkolenia pracowników. 31 Tadeusz Nowik
Podstawowe zasady nie wynosimy danych osobowych poza placówkę, zmieniamy hasła nie dopuszczamy sytuacji, w których inne osoby podglądają dane osobowe nie udostępniamy innym pracownikom swoich haseł/logików, nie instalujemy innych programów, nie przesyłamy plików z danymi osobowymi bez szyfrowania, 32 Tadeusz Nowik
Podstawowe zasady wylogowujemy się z systemu tworzymy kopie zapasowe nie tworzymy teczek z danymi osobowymi na własne potrzeby utylizacja starych dokumentów monitorujemy system przetwarzania danych osobowych
Wymagania systemu informatycznego Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie system ten zapewnia odnotowanie: ( )
Wymagania systemu informatycznego ( 7 rozporządzenia) 1. daty pierwszego wprowadzenia danych do systemu; 2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; (automatycznie)
Wymagania systemu informatycznego ( 7 rozporządzenia) 3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4. informacji o odbiorcach, dacie i zakresie tego udostępnienia; 5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
Urządzenia mobilne (załącznik do rozporządzenia) Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
Przesyłanie danych w sieci szyfrowanie połączenia pocztowego szyfrowanie połączeń programów webowych szyfrowanie połączeń ftp http://office.microsoft.com/pl-pl/outlook-help/szyfrowanie-wiadomosci-e-mail- HP001230536.aspx
Źródło: http://www.benchmark.pl/
Programy szyfrujące
Powierzenie przetwarzania danych (art. 31 ustawy) umowa zawarta na piśmie wyraźnie określała zakres i cel przetwarzania danych spełnienie warunków zabezpieczenia danych (art. 36 39 ustawy, rozporządzenie)
GIODO www.giodo.gov.pl
GIODO Jednak jest wiele sytuacji, w których dochodzi do przetwarzania danych osobowych, a przepisy oświatowe nie precyzują, w jaki sposób należy to robić. Pracownicy sektora oświaty mają więc bardzo utrudnione zadanie, bo w celu realizacji swoich zadań muszą przetwarzać dane osobowe, lecz często, by robić to z poszanowaniem zasad ochrony danych osobowych i prywatności, muszą kierować się własnym wyczuciem. Zawsze proponuję zachowanie przy tym zdrowego rozsądku oraz wcześniejsze uzgodnienie z rodzicami lub opiekunami prawnymi dzieci sposobów postępowania w konkretnych sytuacjach. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych
Dziękuję za uwagę Tadeusz Nowik I kaftan bezpieczeństwa powinien być na miarę szaleństwa. Stanisław Jerzy Lec