OCHRONA INFORMACJI W

OCHRONA INFORMACJI W

ADMINISTRACJI

ADMINISTRACJI

Dr inż. Krzysztof Urbaniak

BEZPIECZEŃSTWO INFORMACJI

BEZPIECZEŃSTWO INFORMACJI

„ … Jednostki administracji publicznej winny ustawowo
zapewnić odpowiednie zasady organizacji ochrony
informacji.”

Naruszenia ochrony danych mogą być

dokonywane drogą elektroniczną lub

tradycyjną.

BEZPIECZEŃSTWO INFORMACJI

BEZPIECZEŃSTWO INFORMACJI

• Poufność – zapewnienie, że informacja jest dostępna
jedynie
osobom upoważnionym.

• Integralność – oznacza zapewnienie dokładności i
kompletności
informacji oraz metod jej przetwarzania.

• Dostępność – definiuje się jako zapewnienie, że osoby
upoważnione mają dostęp do informacji i związanych z nią

aktywów wtedy, gdy jest to potrzebne.

BEZPIECZEŃSTWO INFORMACJI

BEZPIECZEŃSTWO INFORMACJI

Niebezpieczeństwo związane z ochroną informacji często

wiąże się z niską świadomością osób pracujących w

urzędzie.

„Zasada czystego biurka”.

Telefoniczne potwierdzanie danych.

ZAGROŻENIE

ZAGROŻENIE

• Potencjalna przyczyna niepożądanego incydentu, mogącego
wpłynąć na działanie systemu informatycznego lub jednostki.

• Celowe lub przypadkowe działanie, wywołujące sytuację,
mogącą
(s)powodować niedostępność danych (czasowe lub trwałe
uniemożliwienie przetwarzania zbiorów danych), ich
niekontrolowany
wypływ, ujawnienie czy utratę lub przekłamanie.

Kto odpowiada za ochronę danych

Kto odpowiada za ochronę danych

?

?

Zgodnie z §3 i §4 rozporządzenia Ministra MSWiA z dnia 29 kwietnia
2004r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać

urządzenia

i systemy informatyczne służące do przetwarzania danych
osobowych (DzU nr 100, poz.1024), do opracowania i wdrożenia

polityki bezpieczeństwa

zobowiązany jest „administrator danych”.

POLITYKA BEZPIECZEŃSTWA INF.

POLITYKA BEZPIECZEŃSTWA INF.

Praktyki i procedury regulujące sposób
zarządzania, ochrony i dystrybucji informacji
danych osobowych wewnątrz organizacji,
mechanizmy zmniejszające ryzyko naruszenia
przepisów o ochronie danych oraz ograniczające
następstwa ewentualnego ich naruszenia.

POLITYKA BEZPIECZEŃSTWA INF.

POLITYKA BEZPIECZEŃSTWA INF.

Zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (tekst
jednolity: DzU 2002 r. nr 101 poz. 926 ze zm.) polityka
bezpieczeństwa odnosi się kompleksowo do problemu
zabezpieczania zarówno danych osobowych przetwarzanych

tradycyjnie

, jak i danych przetwarzanych

w

systemach informatycznych

u administratora danych oraz

u odbiorców danych.

CEL POLITYKI BEZPIECZEŃSTWA

CEL POLITYKI BEZPIECZEŃSTWA

INF.

INF.

Celem PB w organizacji jest określenie zasad
ochrony informacji, określenie odpowiedzialności i
zaangażowania

kierownictwa,

doprecyzowanie

zadań

osób

funkcyjnych

i użytkowników.

CEL POLITYKI BEZPIECZEŃSTWA

CEL POLITYKI BEZPIECZEŃSTWA

INF.

INF.

• Uniemożliwienie nieautoryzowanego dostępu do danych
osobowych
gromadzonych i przetwarzanych w jednostce.

• Ograniczenie ryzyka błędu ludzkiego, kradzieży, oszustwa
lub
niewłaściwego użytkowania zasobów.

• Zapewnienie odpowiedniej świadomości użytkowników.
• Zapewnienie bezawaryjnego i bezpiecznego działania
urządzeń
przetwarzania informacji.

Zakres obowiązywania PBI.

Zakres obowiązywania PBI.

Przepisy PBI obowiązują

wszystkich

użytkowników, bez

względu na formę zatrudnienia, rodzaj wykonywanej pracy,
wymiar czasu oraz zajmowane stanowisko.

Problematyka PBI obejmuje również takie zagadnienia jak
zakres odpowiedzialności administratora danych oraz
administratora bezpieczeństwa informacji.

Administrator Bezpieczeństwa

Administrator Bezpieczeństwa

Informacji

Informacji

• określenie zasad ustanowienia PBI,
• sporządzanie raportów z realizacji PBI,
• kontrola przestrzegania instrukcji i procedur związanych
z przetwarzaniem danych osobowych,

• zasady opracowania struktury organizacyjnej ochrony
danych
w organizacji,

• określenie zadań użytkowników,

Administrator Bezpieczeństwa

Administrator Bezpieczeństwa

Informacji

Informacji

• określenie zadań ABI,
• sporządzenie i prowadzenie dokumentacji,
• nadawanie uprawnień do przetwarzania danych,
• określenie zagrożeń wpływających na stan ochrony danych,
• określenie zadań w przypadku naruszenia danych
osobowych,

• inne zadania związane z wykonywaniem obowiązków.

Dokument PBI

Dokument PBI

Dokument PBI przygotowywany jest na piśmie. Wyznacza
granice oraz procedury postępowania użytkowników, a także
ich odpowiedzialność w sytuacji naruszeń bezpieczeństwa.
Powinien także zawierać „

deklarację

” zaangażowania

kierownictwa w procesie przygotowania instytucji do
zarządzania bezpieczeństwem informacji.

Dokument PBI

Dokument PBI

Przy tworzeniu dokumentu PBI należy wziąć pod uwagę takie
zagadnienia jak:
• ochrona danych osobowych i prywatności osób, ochronę
dokumentów instytucji, prawo własności intelektualnej,
• odpowiedzialność związaną z bezpieczeństwem informacji,
• edukację i szkolenia użytkowników,
• wsparcie i zaangażowanie kadry kierowniczej,
• zgłaszanie przypadków naruszenia bezpieczeństwa,
• upowszechnienie PBI wśród wszystkich pracowników.

Dokument PBI

Dokument PBI

Dokument powinien opisywać przypadki naruszenia
bezpieczeństwa systemów, pozwolić na ocenę
i udokumentowanie nieprawidłowości oraz zapewnić
właściwy sposób postępowania przy przetwarzaniu
danych osobowych.

Zabezpieczenie danych osobowych

Zabezpieczenie danych osobowych

Praktyki i procedury zapobiegające naruszeniu zasad
ochrony informacji, mechanizmy zmniejszające ryzyko
wystąpienia takiego zagrożenia, ograniczające
następstwa ewentualnego błędu w tym zakresie,
wykrywające niepożądane incydenty
i ułatwiające odtworzenie prawidłowego stanu systemu.

Zabezpieczenie danych osobowych

Zabezpieczenie danych osobowych

Efektywna ochrona wymaga wielu zróżnicowanych
zabezpieczeń i zależy od spełnienia wszystkich
warunków dotyczących organizacji pracy, spraw
kadrowych, zabezpieczenia fizycznego obiektów
i pomieszczeń, odpowiedniej eksploatacji
platformy sprzętowej oraz stosowanego
oprogramowania użytkowego.

DZIĘKUJĘ ZA UWAGĘ