fbpx

Instrukcja Zarządzania Systemem Informatycznym krok po kroku – część II

W kolejnym rozdziale musimy opisać, w jaki sposób zabezpieczyliśmy nasz system przed złośliwym oprogramowaniem i wirusami. Konieczne jest zastosowanie programów antywirusowych i zapory sieciowej.

Przeczytaj część pierwszą: Instrukcja Zarządzania Systemem Informatycznym

Dotyczy to wszystkich komputerów w firmie oraz sieci firmowej i serwera. Wiadomo, że dostęp do internetu niesie ryzyko zainfekowania komputerów wirusami, programami typu spyware. Pracownicy w większości przypadków na komputerach na swoim biurku przetwarzają dane osobowe oraz łączą się z internetem, obojętnie czy sprawdzają pocztę e-mail, czy przeglądają strony internetowe. Dla GIODO nie jest istotne, jaki jest stosowany program antywirusowy – mam na myśli jego markę, tylko pojawia się informacja, że komputery w firmie są wyposażone w takie oprogramowanie. W rozdziale tym powinniśmy zawrzeć również procedury na wypadek zainfekowania komputera wirusami. Jak wiadomo, nie ma systemu dającego 100% bezpieczeństwa i zawsze nawet 1% ryzyka istnieje, na wypadek gdyby nie zadziałały zapora sieciowa czy antywirus.


Zobacz też I część artykułu – Instrukcja zarządzania systemem informatycznym


Przedostatni rozdział mówi o spełnianiu wymogów systemu, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia:

„Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych, ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych”.

W przypadku sklepów internetowych odnotowanie tych informacji występuje w logach systemowych serwera. Niektóre platformy do prowadzenia handlu elektronicznego mają coś takiego, jak dziennik zdarzeń, w którym odnotowuje się wszystkie zdarzenia w sklepie. Jest to bardzo dobre rozwiązanie, gdyż o ile czytanie logów nie zawsze wydaje się przejrzyste, to taki dziennik zdarzeń jest jasny dla osoby nieposiadającej wiedzy specjalistycznej. Dla GIODO wystarczające jest zapewnienie, że system informatyczny odnotowuje i spełnia wymogi określone w § 7 ust. 1 pkt 4 rozporządzenia. Może zdarzyć się też tak, że nie udostępniamy danych nikomu, poza osobami do tego uprawnionymi, oraz organom, które o to do nas wystąpią, czyli prokuraturze, policji, kontroli skarbowej. Oczywiste jest, że przed policją posiadającą nakaz z prokuratury czy orzeczenie sądu o udostępnieniu danych osobowych klienta nie możemy się zasłaniać ustawą o ochronie danych osobowych, gdyż ma ona prawo do wykonywania służbowych czynności.

Ostatnim rozdziałem jest opisanie procedur wykonywania przeglądów, konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ważne jest, aby w wykonywaniu przeglądu lub konserwacji systemu bądź sprzętu, na którym znajdują się dane osobowe, przez pracownika z zewnętrznej firmy, uczestniczyła osoba z firmy, mająca upoważnienie do przetwarzania danych. Fakt ten powinniśmy odnotować w dzienniku systemu informatycznego, w którym opiszemy datę i godzinę zdarzenia oraz podamy, czego dotyczyły przegląd lub konserwacja – kto ją wykonywał. Niektóre firmy w swoich instrukcjach zawarły żądanie wylegitymowania się przez osobę wykonującą przegląd, aby się dowiedzieć, czy faktycznie jest ona umówionym pracownikiem z firmy zewnętrznej.

Należy też opisać procedurę oddania sprzętu do serwisu, zgodnie z pkt VI ppkt 3 załącznika do rozporządzenia, który nakazuje, aby urządzenia, dyski, nośniki przed oddaniem do naprawy pozbawić zapisu danych osobowych w sposób uniemożliwiający ich odczytanie.

Jeżeli firma wykorzystuje w swojej działalności komputery przenośne, to warto napisać w instrukcji zarządzania procedurę korzystania z komputerów przenośnych. Należy mieć na uwadze sposób transportu laptopa, łączenia się z internetem oraz sposób zabezpieczeń. Koniecznością jest logowanie do systemu na hasło, wyposażenie go w program antywirusowy i zaporę sieciową. Warto zastanowić się nad zaszyfrowaniem całej partycji dysku.

Reasumując, pamiętajmy, że w instrukcji zarządzania, podobnie jak w przypadku polityki bezpieczeństwa, nie wpisujemy loginów ani haseł, tylko przedstawiamy, jak powinny wyglądać. Nie trzeba wpisywać konkretnych nazw czy producentów antywirusów oraz programów lub sprzętu zabezpieczającego, ponieważ wystarczą nazwy ogólne. Dobór zabezpieczeń i procedury w głównej mierze określa sam administrator danych osobowych, w zależności od tego, jakie występują ryzyka zagrożeń, jakimi danymi operuje. W przypadku danych osobowych uznanych za wrażliwe sposób zabezpieczeń systemu informatycznego będzie bardziej restrykcyjny niż w przypadku zwykłych danych. Pomoc w określeniu sposobu zabezpieczeń administrator danych osobowych może uzyskać od swojego administratora bezpieczeństwa informacji lub konsultując się z firmą doradczą specjalizującą się w ochronie danych osobowych bądź własnego doświadczenia. Przedstawione przeze mnie informacje należy uznać za bezwzględne minimum, jakie musi spełniać system informatyczny przetwarzający dane osobowe.


Artykuł pochodzi z miesięcznika Mensis.pl nr 5, Marzec 2012. Autor: Krzysztof Krawczyk


Zostaw odpowiedź