fbpx

Instrukcja Zarządzania Systemem Informatycznym krok po kroku – część I

Instrukcja Zarządzania Systemem Informatycznym jest wymaganym dokumentem w ochronie danych osobowych, w przypadku kiedy przetwarzamy te dane, wykorzystując system informatyczny. Obecnie w większości firm odbywa się to za pomocą komputera, w związku z czym instrukcja zarządzania w firmie jest konieczna.

Myśląc o prowadzeniu sklepu internetowego, musimy taką instrukcję posiadać z tego względu, że sklep jest umieszczony na serwerach, dostęp do niego mamy przez internet, w związku z czym przetwarzanie odbywa się w systemach informatycznych. Skrypt sklepu internetowego, bez względu na to, czy jest on płatny, czy darmowy, powinien spełniać wymogi ustawy o ochronie danych osobowych i rozporządzeń. W świetle ustawodawcy jest on uznany za zwykły program komputerowy, instalowany na komputerze, jak np. program CRM, fakturujący, finansowo- księgowy. Poza samym skryptem sklepu internetowego w instrukcji zarządzania musimy przedstawić wszelkie procedury korzystania z komputerów oraz sprzętu peryferyjnego (drukarki, serwery wydruku) w całej naszej firmie.

Do napisania Instrukcji Zarządzania Systemem Informatycznym pomocne są materiały ze strony GIODO sklep internetowy otrzymuje w nich wytyczne do opracowania instrukcji zarządzania, oraz akty prawne: ustawa o ochronie danych osobowych, rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Podobnie jak w Polityce Bezpieczeństwa Informacji, w wytycznych z GIODO podzielono instrukcję na osiem rozdziałów.

Pierwszym rozdziałem są procedury nadawania uprawnień do przetwarzania danych w systemie informatycznym. Opisujemy tutaj, kto jest odpowiedzialny za nadawanie uprawnień, jak wygląda cały proces przygotowawczy użytkownika do pracy w systemie informatycznym przetwarzającym dane osobowe. Generalnie wygląda to tak, że login do systemu nadaje administrator bezpieczeństwa informacji na polecenie administratora danych osobowych. Przygotowuje on taki dokument papierowy, w którym opisuje, komu i w jakim zakresie nadaje uprawnienia. Dla przykładu może to przyjąć taką postać:

„W imieniu administratora danych osobowych XYZ sp. z o.o. nadaję Panu ……… uprawnienia do przetwarzania danych osobowych w bazie Klienci oraz we wszystkich programach przetwarzających ten zbiór.

Program sklepu internetowego – login: user1, hasło musi zostać opracowane według zasad podanych w Polityce Bezpieczeństwa Informacji”.

Jedną kopię otrzymuje pracownik, druga pozostaje w aktach firmy. Na takim dokumencie pisze się również oświadczenie pracownika, że zapoznał się z polityką bezpieczeństwa oraz instrukcją zarządzania.

Kolejny rozdział to stosowane metody i środki uwierzytelnienia oraz procedury ich zarządzania i użytkowania. Tutaj należy opisać, jakie zostały zastosowane środki ochrony systemu informatycznego. Najpopularniejszym jest logowanie na hasło. Ważne, aby każdy z użytkowników miał własny login oraz aby hasło składało się z minimum 8 znaków, w którym jeden znak powinien być dużą literą oraz jeden znak cyfrą i jeden – znakiem specjalnym (#,$,! itp.). Istotne jest też wymuszenie na użytkownikach, aby zmieniali hasło przynajmniej co 30 dni.

Trzeci rozdział instrukcji zarządzania systemem informatycznym stanowi opis, jak należy postępować podczas rozpoczynania pracy w systemie informatycznym oraz jak się powinno ją kończyć i zawieszać. Należy opisać krok po kroku, jak się powinno rozpocząć pracę, czyli wyszczególnić takie etapy, jak: włączenie komputera, następnie zalogowanie się do systemu operacyjnego, sprawdzenie, czy działa program antywirusowy, odczekanie, aby program antywirusowy pobrał wzorce wirusów, następnie uruchomienie programu, w którym pracujemy z danymi osobowymi, podanie loginu i hasła.

W przypadku zawieszenia pracy systemu należy się wylogować z programu, a odchodząc od biurka, wygasić monitor komputera.

Zakończenie pracy może przyjąć następującą postać: wylogowanie się z programu, wylogowanie się z systemu operacyjnego oraz wyłączenie komputera. Warto wspomnieć, aby na biurku nie pozostały żadne wydruki z danymi osobowymi.

Czwarty rozdział instrukcji mówi o wykonywaniu kopii zapasowych.

Należy wskazać:

  • Jakie dane podlegają kopii zapasowej?

  • Jaki jest rodzaj kopii zapasowej, np. przyrostowa, kompletna itp.?

  • Kiedy są tworzone kopie zapasowe (w jakich odstępach czasu)?

  • Kto robi bądź nadzoruje tworzenie kopii zapasowych?

  • Jakie programy są używane do tworzenia kopii systemów informatycznych?

Musimy również opisać, jak niszczymy nośniki uznane za nieprzydatne, na których znajdują się kopie bezpieczeństwa z danymi osobowymi. Dodam, że samo skasowanie danych z dysku twardego nie jest wystarczające, bowiem stosując program do odzyskiwania danych, możemy je odtworzyć. Dane takie należy usunąć w sposób uniemożliwiający ich odczytanie i w tym przypadku zalecałbym zastosowanie specjalnych programów do bezpowrotnego kasowania danych lub fizyczne zniszczenie nośnika. Można go też oddać do firmy zajmującej się niszczeniem nośników, która wyda nam poświadczenie zniszczenia. Wymóg ten reguluje załącznik do rozporządzenia w pkt VI ppkt 1, który brzmi:

„Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1) likwidacji – pozbawia się wcześniej zapisu tych danych”.

Rozdział piąty jest ściśle powiązany z poprzednim, ponieważ traktuje on o sposobie, miejscu i okresie przechowywania elektronicznych nośników zawierających dane osobowe oraz kopii zapasowych. Pomieszczenie takie, w którym przechowujemy kopie bezpieczeństwa, powinno być zamykane i dostęp do niego powinny mieć tylko osoby uprawnione. Regulację prawną znajdziemy w załączniku do rozporządzenia w pkt IV ppkt 4:

„4. Kopie zapasowe:

a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem,

b) usuwa się niezwłocznie po ustaniu ich użyteczności”.

Jako wskazówkę mogę podać, że warto trzymać kopie zapasowe w innym pomieszczeniu niż serwer z racji zmniejszenia ryzyka. Wyobraźmy sobie, że w naszej serwerowni wybuchł pożar i spłonęła ona doszczętnie. Jeżeli były tam kopie zapasowe, to straciliśmy wszystko i danych nie da się odtworzyć.

Rozumiem też, że sklep internetowy często jest to działalność gospodarcza prowadzona w domu i spełnienie wymogów ustaw i rozporządzeń może wydawać się trudne. Niekoniecznie, nikt nie każe nam budować tajnych pomieszczeń. Kopie zapasowe można wykonywać, archiwizując dane w chmurze, do której zarówno dostęp, jak i przechowywanie są zaszyfrowane, wobec czego nikt, poza użytkownikiem, nie ma fizycznego dostępu do tych danych. Kopie zapasowe możemy trzymać na nośnikach zaszyfrowanych programami do szyfrowania danych, w szafce naszego biurka zamykanej na klucz. Samo pomieszczenie również jest zamykane, ponieważ zakładam, iż mieszkanie jest zamykane i każdy z nas stara się zabezpieczyć nasze mienie. Kopie zapasowe może wykonywać za nas również firma, której powierzyliśmy przetwarzanie danych osobowych, co w przypadku sklepów internetowych czyni firma hostingowa. Dobre firmy robią kopie awaryjne, aby zapewnić ciągłość swoich usług. Jeżeli więc bazujemy na kopiach naszego hostingodawcy, to powinniśmy się dowiedzieć, jak często jest robiona kopia zapasowa. Większość tych rzeczy znajdziemy w umowie i regulaminie o świadczeniu usług hostingowych.

Dodam również, że ustawodawca nie wspomniał, jak długo kopie mają być przechowywane. Należy to do administratora danych. Z doświadczenia powiem, że w firmach wygląda to tak, iż codziennie o ustalonej porze robiona jest kopia zapasowa, tzw. przyrostowa, czyli program archiwizujący dane nadpisuje pliki, jeżeli są nowsze od wcześniej zapisanych. Poza tym raz w tygodniu wykonuje się kopię pełną, która jest przechowywana, w zależności od wielkości, na zewnętrznym dysku, płycie DVD, pendrive’ie i taśmie streamerowej. Wszystkie te nośniki są przechowywane w wydzielonym do tego miejscu lub wynajętej skrytce bankowej. Zazwyczaj kopie pełne są kasowane po pojawieniu się następnej kopii pełnej, w związku z czym możemy operować na dwóch nośnikach. Jednak mając na uwadze, że tak częste kopiowanie i usuwanie danych może spowodować, iż nośnik odmówi nam posłuszeństwa, trzeba co jakiś czas go wymieniać na nowy, w momencie likwidacji takiego uszkodzenia musimy skasować dane w sposób uniemożliwiający odczytanie tych danych, nawet przez programy do przywracania danych. Niedopuszczalne jest zabranie takiego dysku przez pracownika, który wykorzysta go do swoich potrzeb, o ile wcześniej dysk ten nie był poddany obróbce bezpowrotnego usuwania danych.

Przeczytaj część drugą


Artykuł pochodzi z miesięcznika Mensis.pl nr 5, Marzec 2012. Autor: Krzysztof Krawczyk


Zostaw odpowiedź