1 DEFINICJE Ustawa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, z późn. zm.). Rozporządzenie Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadad urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz.1024). WSTĘP Podstawowe dwa dokumenty (polityka bezpieczeostwa oraz instrukcja zarządzania systemem informatycznym), określone w Ustawie i Rozporządzeniu, opierają się na współpracy trzech podmiotów: Administratora Danych Osobowych (ADO), Administratora Bezpieczeostwa (ABI) i Administratora Systemów Informatycznych (ASI). W zależności od struktury firmy i schematu jej działania, ilości zatrudnionych osób oraz jej złożoności, wszystkie trzy role może zarówno pełnid jedna osoba jak też zadania te mogą byd rozdzielone pomiędzy trzy osoby. Odpowiedzialnośd administratora danych osobowych (ADO) ponosi zarząd firmy lub osoba znajdująca się najwyżej w hierarchii przedsiębiorstwa (np. właściciel firmy). Formalnym administratorem danych nie jest osoba lecz podmiot jako taki (firma lub organizacja). Zadania administratora bezpieczeostwa informacji oraz administratora systemów informatycznych mogą pełnid osoby powołane do tego przez administratora danych. ADO może również samodzielnie pełnid zadania ABI i/lub ASI (tak jest najczęściej w mikro i małych przedsiębiorstwach). Nie ma też przeszkód aby w przedsiębiorstwie był powołany (przez zarząd lub właściciela firmy) osobny ADO, który będzie pełnid obowiązki związane z dochowaniem starao aby firma właściwie chroniła dane osobowe. Należy jednak pamiętad, że osobno powołany ADO (poza zarządem), nie ponosi odpowiedzialności na zewnątrz firmy, który zawsze ponosi zarząd. Pomijając uproszczony tryb gdzie ADO = ABI = ASI, przyjmuje się, że ADO wyznacza ABI, który może powoład ASI jeśli jest taka potrzeba. Możliwa jest też sytuacja gdzie nie ma określonego ASI (wówczas obowiązki ASI pełni ABI).
2 TRZY PODSTAWOWE ZADANIA ADO, ABI, ASI ADO pełni rolę kontrolną dotyczącą zasad poprawnego przetwarzania danych osobowych zgodnie z wymogami i zaleceniami Ustawy i Rozporządzenia. Administrator danych wytycza kierunki zmierzające do zapewnienia odpowiedniej ochrony danych osobowych oraz nadzoruje przestrzeganie ustalonych zasad (Polityka bezpieczeostwa oraz Instrukcja zarządzania systemem informatycznym). Funkcję wykonawczą pełni Administrator bezpieczeostwa informacji, który zgodnie z wytycznymi administratora danych realizuje procedury, kontroluje przestrzeganie zasad bezpieczeostwa oraz wdraża techniczne środki ochrony. Administrator bezpieczeostwa również reaguje na incydenty, przeciwdziałając im oraz zabezpieczając odpowiedni materiał dowodowy. Podczas pracy, ABI współpracuje z administratorem systemów informatycznych (ASI), który jest ich bezpośrednim opiekunem. Do jego zadao należy dbanie o właściwe działanie sprzętu i oprogramowania w sposób zapewniający właściwy poziom ochrony określony przez ABI. PODSTAWOWE OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH Na administratorze danych osobowych (administratorze danych) ciąży obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 Ustawy). Wykonując obowiązki jest on zobowiązany do dochowania szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 Ustawy). Również administrator danych jest obowiązany do udzielania informacji o celu i zakresie przetwarzanych danych osobowych (art. 33 Ustawy). ADO także ma obowiązek właściwego uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 Ustawy). Ustawa nakłada też na administratora danych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeo oraz kategorii danych objętych ochroną (art. 36 Ustawy) oraz kontrolowania jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 Ustawy). Administrator danych osobowych prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych (art. 39 Ustawy) oraz w przypadkach przewidzianych prawem (art. 40 ustawy) zgłasza zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
3 PODSTAWOWE OBOWIĄZKI ADMINISTRATORA BEZPIECZEOSTWA INFORMACJI Zgodnie z treścią zawartą w 3 Rozporządzenia, administrator danych powinien wyznaczyd osobę, zwaną dalej "administratorem bezpieczeostwa informacji", odpowiedzialną za bezpieczeostwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działao w przypadku wykrycia naruszeo w systemie zabezpieczeo. Wymieniony wyżej zakres odpowiedzialności administratora bezpieczeostwa i informacji sprawia, że do jego głównych obowiązków należą: 1. Nadzór nad fizycznym zabezpieczeniem pomieszczeo, w których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób. Pomieszczenia, o których mowa wyżej powinny byd zabezpieczone przed dostępem do nich osób nieposiadających uprawnieo do przetwarzania danych osobowych. Osoby nieposiadające takich uprawnieo mogą przebywad w nich jedynie w obecności osób uprawnionych. Na czas nieobecności zatrudnionych tam osób, pomieszczenia te powinny byd odpowiednio zabezpieczone. W celu zabezpieczenia pomieszczeo należy zastosowad odpowiednie zamki do drzwi oraz sprawowad właściwy nadzór nad kluczami do tych pomieszczeo. 2. Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeo mających wpływ na bezpieczeostwo przetwarzania. Komputery oraz urządzenia, o których mowa wyżej powinny byd zasilane poprzez zastosowanie specjalnych urządzeo podtrzymujących zasilanie. Urządzenia te powinny byd wyposażone w oprogramowanie umożliwiające bezpieczne wyłączenie systemu komputerowego. Oznacza to takie wyłączenie, w którym przed zanikiem zasilania zostaną prawidłowo zakooczone rozpoczęte transakcje na bazie danych oraz wszelkie inne działania w ramach pracujących aplikacji i oprogramowania systemowego. 3. Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz aby mikrokomputery te nie były udostępniane osobom nieupoważnionym do przetwarzania danych osobowych. Osoby posiadające mikrokomputery przenośne z zapisanymi w nich danymi osobowymi należy przeszkolid w kierunku zachowania szczególnej uwagi podczas ich transportu oraz uczulid na to, aby mikrokomputery te przechowywane były we właściwie zabezpieczonym pomieszczeniu. 4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeo komputerowych na których zapisane są dane osobowe. Dyski i inne informatyczne nośniki danych zawierające dane osobowe przeznaczone do likwidacji, należy pozbawid zapisu tych danych, a w przypadku, gdy nie jest to możliwe należy uszkodzid w sposób uniemożliwiający ich odczyt. Urządzenia przekazywane do naprawy należy pozbawid zapisu danych osobowych lub naprawiad w obecności osoby upoważnionej przez administratora danych.
4 5. Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwośd ich zmiany zgodnie z wytycznymi, które powinny byd zawarte w instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeostwa informacji ( 11 ust. 2 pkt 1 Rozporządzenia). 6. Nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod kątem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywirusowych i ich konfiguracji. 7. Nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu. 8. Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych. 9. Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeo teletransmisji. 10. Nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny. W zakresie nadzoru, o którym mowa wyżej administrator bezpieczeostwa informacji powinien dopilnowad, aby osoby zatrudnione przy przetwarzaniu danych osobowych miały dostęp do niszczarki dokumentów w celu niszczenia błędnie utworzonych lub już niepotrzebnych wydruków komputerowych z danymi osobowymi. 11. Nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolą dostępu do danych osobowych. Nadzorowanie, o którym mowa wyżej powinno obejmowad zarządzanie kontami użytkowników (ustalenie identyfikatorów i haseł, ich przyznawanie, anulowanie, resetowanie i ochrona). Dbałośd o właściwe ustawienie urządzeo, tak aby minimalizowad możliwośd wycieków informacji.
5 12. Podjęcie natychmiastowych działao zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeo systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeo wskazujących na naruszenie bezpieczeostwa danych. Działania, o których mowa wyżej powinny mied na celu wykrycie przyczyny lub sprawcy zaistniałej sytuacji i jej usunięcie. Szczegółowe zasady postępowania w przypadku naruszeniu zabezpieczeo powinny byd określone w instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych ( 11 ust. 1 Rozporządzenia). W przypadku, gdy, na przykład, istnieje podejrzenie, iż naruszenie bezpieczeostwa danych osobowych spowodowane zostało zaniedbaniem lub naruszeniem dyscypliny pracy, zadaniem administratora bezpieczeostwa informacji powinno byd przedstawienie wniosku administratorowi danych o wszczęcie postępowania wyjaśniającego i ukaranie odpowiedzialnych za to osób. 13. Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeostwa danych (jeśli takie wystąpiło) i przygotowanie oraz przedstawienie administratorowi danych odpowiednich zmian do instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych ( 11 ust. 1 Rozporządzenia). Zmiany te powinny byd takie, aby wyeliminowad lub ograniczyd wystąpienie podobnych sytuacji w przyszłości. Obowiązek śledzenia skuteczności zabezpieczeo, o którym mowa wyżej oraz obowiązek ich udoskonalania, nałożony na administratora bezpieczeostwa, wynika bezpośrednio z obowiązku podejmowania odpowiednich działao w przypadku wykrycia naruszeo w systemie zabezpieczeo ( 3 Rozporządzenia). PODSUMOWANIE Wymienione wyżej zadania administratora bezpieczeostwa informacji wskazują jedynie w sposób ogólny zagadnienia dotyczące bezpieczeostwa danych w systemach, gdzie przetwarzane są dane osobowe. Niezależnie od wymienionych tam czynności, zadaniem administratora bezpieczeostwa informacji jest śledzenie osiągnięd w dziedzinie zabezpieczania systemów informatycznych w ogóle i wdrażanie takich narzędzi, metod pracy oraz sposobów zarządzania systemem informatycznym, które bezpieczeostwo to wzmocnią. Działania szczegółowe, jakie administrator bezpieczeostwa informacji powinien podejmowad w celu realizacji określonych wyżej zadao uzależnione powinny byd od architektury systemu informatycznego, w którym dane są przetwarzane, sposobu przetwarzania danych oraz stosowanego sprzętu i oprogramowania. Administrator bezpieczeostwa informacji, swoje działania powinien również dostosowad do sytuacji organizacyjnej oraz finansowej administratora danych