FAQ - Administrator Bezpieczeństwa Informacji

Kto to jest ADO?

ADO czyli Administrator Danych Osobowych oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych (art.7 pkt 4).

Kto to jest ABI?

ABI czyli Administrator Bezpieczeństwa Informacji to zgodnie z zapisami ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych osoba, która z upoważnienia ADO nadzoruje przestrzeganie środków techniczno-organizacyjnych mających na celu zapewnienie ochrony przetwarzania danych osobowych.

Kto to jest ASI?

ASI czyli Administrator Systemu bądź Systemów Informatycznych jest to osoba zajmująca się zarządzaniem systemem informatycznym.

Czy adres e-mail, numer IP komputera, rysunek dziecka czy zdjęcia mogą być uważane za dane osobowe?

Otóż tak, pod warunkiem, iż zgodnie z definicją danych osobowych w ujęciu ustawy o ochronie danych osobowych, pozwalają na identyfikację konkretnej osoby.

Skąd tak naprawdę wzięło się całe zamieszanie związane z określaniem charakteru informacji jako danych osobowych?

Ponieważ jak niewielu z nas ma świadomość - posługujemy się danymi osobowymi wszędzie: na popularnych w dzisiejszych czasach portalach społecznościowych, na kuponach lojalnościowych wypełnianych przez klientów sklepów, czy zwyczajnie łącząc się z internetem. Ważne jest więc określenie, co tak naprawdę jest daną osobową, aby zgodnie z wymaganiami ustawy objąć ją ochroną.

Zarządzanie bezpieczeństwem informacji w przedsiębiorstwach?

Dla nikogo nie jest tajemnicą, iż każdy z podmiotów zarządza aktywami informacyjnymi przetwarzając tym samym miliony informacji. W Polsce istnieje ponad 200 aktów prawnych dotyczących ochrony danych min. ustawa o ochronie danych osobowych, ustawa o ochronie informacji niejawnych, ustawa o prawie autorskim i prawach pokrewnych, Prawo własności przemysłowej, Ustawa o podpisie elektronicznym itp. Powyższe akty prawne nakładają na przedsiębiorcę określone obowiązki w zakresie bezpieczeństwa informacji dotyczące zarówno zachowania poufności określonych informacji, jak i ich dostępności i integralności. Oprócz obowiązków, ustawy i rozporządzenia określają kary, które grożą przedsiębiorcom nie przestrzegającym przepisów.

Co to jest GIODO?

GIODO - Generalny Inspektor Ochrony Danych to - organ do spraw ochrony danych osobowych powoływany na 4-letnią kadencję przez Sejm RP za zgodą Senatu, pełniący funkcję kontrolną i nadzorczą nad gromadzeniem i przetwarzaniem informacji będącymi danymi osobowymi.

Co to jest Polityka Bezpieczeństwa Informacji?

Polityka Bezpieczeństwa Informacji to zbiór spójnych reguł i procedur, wg których organizacja zarządza zasobami i systemami informacyjnymi i informatycznymi, a także ich ochroną. Polityka powinna być dokumentem spisanym i znanym pracownikom organizacji, a także powinna zawierać scenariusze postępowania w sytuacjach naruszenia bezpieczeństwa informacji.

W PBI powinny być poruszone przede wszystkim następujące zagadnienia:

• co podlega ochronie?
• jak chronić krytyczne zasoby?

Co to jest firewall?

Zapora sieciowa (ang. firewall) - to konstrukcja zapewniająca kontrolowane połączenie pomiędzy siecią prywatną i internetem (siecią publiczną). Dostarcza ona mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami.

Co to jest backup?

Backup - w informatyce dane, które mają służyć do odtworzenia oryginalnych danych w przypadku ich utraty lub uszkodzenia.

Co to jest archiwizacja?

Proces wykonywania kopii bezpieczeństwa, w odniesieniu do kopii długotrwałych, jest nazywany archiwizacją.

Co to jest atak pasywny?

Atak pasywny - jest to atak polegający na podsłuchiwaniu bądź też monitorowaniu przesyłu danych, celem atakującego jest odkrycie zawartości komunikatu.

Co oznacza zarządzanie ryzykiem?

Zarządzanie ryzykiem skupia się na dostarczeniu zrozumienia ryzyka pozwalającego na jego identyfikację, analizę, ocenę i na tej podstawie wprowadzenie adekwatnego systemu zarządzania.

Co to jest dana osobowa?

Zgodnie z ustawą o ochronie danych osobowych, pojęcie Dana Osobowa to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której określenie tożsamości jest możliwe bez nadmiernych kosztów, czasu lub działań.

Co to jest instrukcja zarządzania systemem informatycznym?

Instrukcja zarządzania systemem informatycznym opisuje sposoby nadawania uprawnień użytkownikom, określa sposób pracy w systemie informatycznym, procedury zarządzania oraz czynności mające wpływ na zapewnienie bezpieczeństwa systemu informatycznego w organizacji.

Co to jest obszar bezpieczny?

Jest to wydzielona i zabezpieczona powierzchnia, gdzie jest zapewniona ochrona fizyczna przetwarzanych informacji. Obszarem bezpiecznym może być np. serwerownia czy centrum badań.

Co oznacza powierzenie przetwarzania danych osobowych?

Zgodnie z zapisami ustawy o ochronie danych osobowych Administrator danych może przetwarzać je samodzielnie lub przekazać ich przetwarzanie innemu podmiotowi na podstawie umowy zawartej na piśmie. W umowie tej powinien być zawarty cel jak i zakres przetwarzania danych przez podmiot, któremu je powierzono, jednocześnie Administrator danych nie może przekazać więcej uprawnień niż sam posiada. Przekazanie przetwarzania danych osobowych innemu podmiotowi nie czyni go administratorem danych, a odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych nadal spoczywa na administratorze. Nie wyłącza to jednak odpowiedzialności podmiotu, któremu administrator powierzył przetwarzanie danych, za przetwarzanie danych niezgodnie z umową powierzenia.

Co to jest atak aktywny?

Atak na bezpieczeństwo, polegający na bezpośrednim naruszeniu bezpieczeństwa systemu poprzez wykonywanie zmian w strumieniu danych lub tworzeniu danych fałszywych. Rozróżnia się cztery rodzaje ataku aktywnego: maskaradę, atak przez ponawianie, modyfikowanie komunikatów oraz blokowanie działania.

Co to jest kod złośliwy?

Kod złośliwy to program, który jest stworzony do przeprowadzania nieautoryzowanych a tym samym szkodliwych działań. Kod ten instaluje się automatycznie na stronach www, wykorzystując luki w zabezpieczeniach serwerów firm hostingowych lub - częściej - niezabezpieczone komputery, na których znajdują się dane pozwalające zalogować się na serwery FTP. Obecność tego typu kodu może powodować otwieranie okien pop-u na stronie www jak i wykluczenie danej strony z indeksu wyszukiwarki.

Co to jest kod mobilny?

Kod programu, który można transmitować poprzez sieć i wykonywać w miejscu docelowym. Głównym celem programowania z mobilnym kodem jest dostarczenie bezpiecznych i rozszerzalnych środków do programowania interakcyjnych aplikacji w sieciach Internet oraz Intranet.

Co to jest procedura bezpieczeństwa?

Dokument lub zestaw dokumentów określających cel, odpowiedzialność, zakres i warunki stosowania oraz opis zasad postępowania czyli działań składających się na wykonanie danej procedury dotyczącej ograniczenia bądź tez wyeliminowania zagrożeń bezpieczeństwa. Najczęściej procedury bezpieczeństwa są załącznikami Instrukcji Zarządzania Systemami Informatycznymi lub elementem Systemu Zarządzania Bezpieczeństwem Informacji.

Czym jest naruszenie bezpieczeństwa informacji?

Naruszeniem bezpieczeństwa informacji są wszelkie mogące mieć miejsce zdarzenia lub działania, które stanowią lub mogą stanowić przyczynę utraty zasobów, zmian poufności, integralności, dostępności informacji lub niezawodności systemów, a także odstępstwa od obowiązujących procedur postępowania, nawet, jeżeli nie prowadzą do wyżej wymienionych skutków np. pozostawienie na czas nieobecności otwartych drzwi do pomieszczenia przetwarzania danych, pozostawienie jednostki komputerowej na czas nieobecności z uruchomioną sesją w aplikacji przetwarzającej dane, brak stosowania wygaszaczy ekranu, pozostawianie haseł i identyfikatorów do aplikacji przetwarzających dane w miejscach ogólnie dostępnych itd.

Czym jest incydent naruszenia bezpieczeństwa informacji?

Incydentem naruszenia bezpieczeństwa jest każde określone zdarzenie lub działanie, naruszające bezpieczeństwo lub zasady ochrony informacji np. utrata nośnika z danymi, nieuprawnione usunięcie danych, nieuprawnione zmodyfikowanie danych, utrata danych w skutek włamania do systemu informatycznego lub archiwum, kradzież danych itd.

Czym jest umowa powierzenia danych i co powinna zawierać?

Umowa powierzenia danych jest dokumentem potwierdzającym fakt powierzenia określonych zbiorów danych firmy A firmie B w określonym celu na określonych warunkach i na określony czas. Umowa ta pod rygorem nieważności musi być sporządzona w formie pisemnej i powinna zawierać co najmniej:

• datę i miejsce zawarcia umowy,
• dokładną informację o stronach powyższej umowy,
• podstawę prawną,
• określenie zakresu powierzonych danych oraz celu ich powierzenia do przetwarzania jak również czasu na jaki dane zostały powierzone,
• określenie opłat oraz ewentualnych kar umownych,
• oświadczenie usługodawcy dot. posiadania bądź też zobowiązanie do wdrożenia środków zabezpieczających zgodnie z uodo, i rozp. MSWiA
• oświadczenie dot. posiadania niezbędnej dokumentacji bezpieczeństwa d.o. (PBI, IZSI)
• zapis o możliwości kontroli powierzonych danych przez upoważnione przez ADO osoby w celu weryfikacji zastosowanych środków bezpieczeństwa w stosunku do powierzonych zbiorów a także wykonywania postanowień zawartej umowy.

Warto w tym miejscu zaznaczyć że powierzenie danych firmy A firmie B nie zwalnia ADO (firma A) z administrowania tym zbiorem czyli również odpowiedzialności ustawowej dot. powierzonego zbioru. Chodzi głównie o czynności wynikające z ustawy oso a mianowicie zgłoszenia powierzonego zbioru do GIODO, natomiast firma B nie staje administratorem powierzonych danych ale jest zobligowana do spełnienia wymagań określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumenctacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

W zakresie przestrzegania powyższych przepisów podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność taką samą jak administrator danych.

W odniesieniu do podmiotu, któremu powierzono przetwarzanie danych Generalnemu Inspektorowi Ochrony Danych Osobowych przysługuje prawo kontroli zgodności przetwarzania danych z przepisami dotyczącymi ochrony danych osobowych - analogicznie jak w odniesieniu do administratora danych.

Czy Administrator Systemu Informatycznego może być równocześnie Administratorem Bezpieczeństwa Informacji?

Odpowiedź brzmi tak może pełnić równocześnie obie te funkcje, natomiast nie jest to rozwiązanie optymalne jeżeli chodzi o zachowanie odpowiedniego poziomu bezpieczeństwa w przedsiębiorstwie. Istnieją zagrożenia które w sposób oczywisty pokazują że takie rozwiązanie komplikuje wykonywanie funcji zarówno ABI jak i ASI, uniemożliwia równoczesne wykonywanie obu tych funkcji.

Przykład:

W przypadku wystąpienia awarii serwera bądź też aplikacji przetwarzającej dane osobowe zarówno ASI jak i ABI zgodnie ze swoim zakresem obowiązków i uprawnień dot. wykonywanych funkcji powinni wykonywać działania zgodne z obowiązującymi procedurami w tym zakresie. Niestety w większości procedur dot. powyższych awarii działania ABI i ASI muszą być wykonywane równocześnie, dlatego też trudno sobie wyobrazić aby informatyk pełniący obie te funkcje mógł równocześnie pracować nad uruchomieniem systemu lub aplikacji i wykonywać działania dotyczące wyjaśnienia sprawy pod kątem naruszenia przepisów dot. ochrony danych osobowych. Łączenie tych dwóch funkcji może znacznie utrudniać poprwaną analizę i wyjaśnienie naruszenia bezpieczeństwa danych osobowych bądź też incydentu związanego z naruszeniem danych osobowych.

Czy ADO może być ABI?

Z definicji Administratora Danych Osobowych i Administratora Bezpieczeństwa Informacji można wywnioskować, że występujące różnice nie stanowią problemu jeżeli chodzi o łączenie tych dwóch funkcji w zakresie administrowania i ochrony danych osobowych w firmie. Różnice widoczne są co prawda w osobowości prawnej tzn. ADO z definicji jest podmiotem gospodarczym, jednostką organizacyjną bądź też osobą samodzielnie decydującą o celach i środkach przetwarzania danych osobowych natomiast termin ABI oznacza osobę nadzorującą z upoważnienia administratora danych osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną. Różnice te zgodnie z obowiązującymi przepisami prawa jak również unormowaniami w tym zakresie nie mają wpływu na łączenie funkcji ADO z funkcją ABI. Dlatego tez w wielu firmach z powodów ekonomicznych , organizacyjnych bądź też statutowych obie funkcje są wykonywane przez ADO.

Czym jest polityka haseł oraz jakie rozróżniamy poziomy bezpieczeństwa danych osobowych?

Polityka haseł to rozwiązanie techniczne bądź organizacyjne mające na celu określenie odpowiednich modeli kryptografii (szyfrowania). Polityki haseł realizowane są na poziomach systemów, aplikacji oraz zabezpieczeń zasobów. Możemy rozróżnić polityki haseł narzucone czyli takie które są domyślnie definiowane w systemie  komputerowym bądź aplikacji w celu zachowania odpowiedniego poziomu bezpieczeństwa (hasło:8<nAk0vv, okres ważności: 30 dni). Projektowane są również polityki haseł jako procedury bezpieczeństwa mówiące o budowie haseł, wazności oraz sposobie tworzenia, zabezpieczenia oraz zapamiętywania.

Przykładem do zastosowania odpowiedniej polityki haseł jest przetwarzanie danych osobowych. Wymagania dotyczące polityki haseł w systemach informatycznych przetwarzających dane osobowe określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024). W rozporządzeniu wprowadzone zostały 2 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

• podstawowy (w systemie nie są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy, czyli m.in.dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, nałogach itp.; żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną). Wymagania na tym poziomie bezpieczeństwa to hasło składające się z 6 znaków a termin ważności hasła to 30 dni
• podwyższony (w systemie przetwarzane są dane wrażliwe w myśl art. 27; żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną). Wymagania na tym poziomie bezpieczeństwa to hasło składające się z 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne a termin ważności hasła to 30 dni
• wysoki (przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną). Wymagania na tym poziomie bezpieczeństwa to hasło składające się z 8 znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne a termin ważności hasła to 30 dni.
  

end faq