OCHRONA INFORMACJI W
OCHRONA INFORMACJI W
ADMINISTRACJI
ADMINISTRACJI
Dr inż. Krzysztof Urbaniak
BEZPIECZEŃSTWO INFORMACJI
BEZPIECZEŃSTWO INFORMACJI
„ … Jednostki administracji publicznej winny ustawowo
zapewnić odpowiednie zasady organizacji ochrony
informacji.”
Naruszenia ochrony danych mogą być
dokonywane drogą elektroniczną lub
tradycyjną.
BEZPIECZEŃSTWO INFORMACJI
BEZPIECZEŃSTWO INFORMACJI
• Poufność – zapewnienie, że informacja jest dostępna
jedynie
osobom upoważnionym.
• Integralność – oznacza zapewnienie dokładności i
kompletności
informacji oraz metod jej przetwarzania.
• Dostępność – definiuje się jako zapewnienie, że osoby
upoważnione mają dostęp do informacji i związanych z nią
aktywów wtedy, gdy jest to potrzebne.
BEZPIECZEŃSTWO INFORMACJI
BEZPIECZEŃSTWO INFORMACJI
Niebezpieczeństwo związane z ochroną informacji często
wiąże się z niską świadomością osób pracujących w
urzędzie.
„Zasada czystego biurka”.
Telefoniczne potwierdzanie danych.
ZAGROŻENIE
ZAGROŻENIE
• Potencjalna przyczyna niepożądanego incydentu, mogącego
wpłynąć na działanie systemu informatycznego lub jednostki.
• Celowe lub przypadkowe działanie, wywołujące sytuację,
mogącą
(s)powodować niedostępność danych (czasowe lub trwałe
uniemożliwienie przetwarzania zbiorów danych), ich
niekontrolowany
wypływ, ujawnienie czy utratę lub przekłamanie.
Kto odpowiada za ochronę danych
Kto odpowiada za ochronę danych
?
?
Zgodnie z §3 i §4 rozporządzenia Ministra MSWiA z dnia 29 kwietnia
2004r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać
urządzenia
i systemy informatyczne służące do przetwarzania danych
osobowych (DzU nr 100, poz.1024), do opracowania i wdrożenia
polityki bezpieczeństwa
zobowiązany jest „administrator danych”.
POLITYKA BEZPIECZEŃSTWA INF.
POLITYKA BEZPIECZEŃSTWA INF.
Praktyki i procedury regulujące sposób
zarządzania, ochrony i dystrybucji informacji
danych osobowych wewnątrz organizacji,
mechanizmy zmniejszające ryzyko naruszenia
przepisów o ochronie danych oraz ograniczające
następstwa ewentualnego ich naruszenia.
POLITYKA BEZPIECZEŃSTWA INF.
POLITYKA BEZPIECZEŃSTWA INF.
Zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (tekst
jednolity: DzU 2002 r. nr 101 poz. 926 ze zm.) polityka
bezpieczeństwa odnosi się kompleksowo do problemu
zabezpieczania zarówno danych osobowych przetwarzanych
tradycyjnie
, jak i danych przetwarzanych
w
systemach informatycznych
u administratora danych oraz
u odbiorców danych.
CEL POLITYKI BEZPIECZEŃSTWA
CEL POLITYKI BEZPIECZEŃSTWA
INF.
INF.
Celem PB w organizacji jest określenie zasad
ochrony informacji, określenie odpowiedzialności i
zaangażowania
kierownictwa,
doprecyzowanie
zadań
osób
funkcyjnych
i użytkowników.
CEL POLITYKI BEZPIECZEŃSTWA
CEL POLITYKI BEZPIECZEŃSTWA
INF.
INF.
• Uniemożliwienie nieautoryzowanego dostępu do danych
osobowych
gromadzonych i przetwarzanych w jednostce.
• Ograniczenie ryzyka błędu ludzkiego, kradzieży, oszustwa
lub
niewłaściwego użytkowania zasobów.
• Zapewnienie odpowiedniej świadomości użytkowników.
• Zapewnienie bezawaryjnego i bezpiecznego działania
urządzeń
przetwarzania informacji.
Zakres obowiązywania PBI.
Zakres obowiązywania PBI.
Przepisy PBI obowiązują
wszystkich
użytkowników, bez
względu na formę zatrudnienia, rodzaj wykonywanej pracy,
wymiar czasu oraz zajmowane stanowisko.
Problematyka PBI obejmuje również takie zagadnienia jak
zakres odpowiedzialności administratora danych oraz
administratora bezpieczeństwa informacji.
Administrator Bezpieczeństwa
Administrator Bezpieczeństwa
Informacji
Informacji
• określenie zasad ustanowienia PBI,
• sporządzanie raportów z realizacji PBI,
• kontrola przestrzegania instrukcji i procedur związanych
z przetwarzaniem danych osobowych,
• zasady opracowania struktury organizacyjnej ochrony
danych
w organizacji,
• określenie zadań użytkowników,
Administrator Bezpieczeństwa
Administrator Bezpieczeństwa
Informacji
Informacji
• określenie zadań ABI,
• sporządzenie i prowadzenie dokumentacji,
• nadawanie uprawnień do przetwarzania danych,
• określenie zagrożeń wpływających na stan ochrony danych,
• określenie zadań w przypadku naruszenia danych
osobowych,
• inne zadania związane z wykonywaniem obowiązków.
Dokument PBI
Dokument PBI
Dokument PBI przygotowywany jest na piśmie. Wyznacza
granice oraz procedury postępowania użytkowników, a także
ich odpowiedzialność w sytuacji naruszeń bezpieczeństwa.
Powinien także zawierać „
deklarację
” zaangażowania
kierownictwa w procesie przygotowania instytucji do
zarządzania bezpieczeństwem informacji.
Dokument PBI
Dokument PBI
Przy tworzeniu dokumentu PBI należy wziąć pod uwagę takie
zagadnienia jak:
• ochrona danych osobowych i prywatności osób, ochronę
dokumentów instytucji, prawo własności intelektualnej,
• odpowiedzialność związaną z bezpieczeństwem informacji,
• edukację i szkolenia użytkowników,
• wsparcie i zaangażowanie kadry kierowniczej,
• zgłaszanie przypadków naruszenia bezpieczeństwa,
• upowszechnienie PBI wśród wszystkich pracowników.
Dokument PBI
Dokument PBI
Dokument powinien opisywać przypadki naruszenia
bezpieczeństwa systemów, pozwolić na ocenę
i udokumentowanie nieprawidłowości oraz zapewnić
właściwy sposób postępowania przy przetwarzaniu
danych osobowych.
Zabezpieczenie danych osobowych
Zabezpieczenie danych osobowych
Praktyki i procedury zapobiegające naruszeniu zasad
ochrony informacji, mechanizmy zmniejszające ryzyko
wystąpienia takiego zagrożenia, ograniczające
następstwa ewentualnego błędu w tym zakresie,
wykrywające niepożądane incydenty
i ułatwiające odtworzenie prawidłowego stanu systemu.
Zabezpieczenie danych osobowych
Zabezpieczenie danych osobowych
Efektywna ochrona wymaga wielu zróżnicowanych
zabezpieczeń i zależy od spełnienia wszystkich
warunków dotyczących organizacji pracy, spraw
kadrowych, zabezpieczenia fizycznego obiektów
i pomieszczeń, odpowiedniej eksploatacji
platformy sprzętowej oraz stosowanego
oprogramowania użytkowego.
DZIĘKUJĘ ZA UWAGĘ