56

OBRONA

HAKIN9 5/2009

D

ane osobowe w rozumieniu ustawy o
ochronie danych osobowych są to wszelkie
informacje dotyczące zidentyfikowanej

lub możliwej do zidentyfikowania osoby fizycznej.
Pod pojęciem bezpieczeństwa danych osobowych
należy rozumieć ochronę poufności, rozliczalności
i integralności danych osobowych bez względu na
sposób ich przetwarzania, tradycyjny (manualny)
czy też w systemie informatycznym. Bezpieczeństwo
danych osobowych należy zapewnić przed
rozpoczęciem oraz w trakcie przetwarzania
danych osobowych. Obowiązek ochrony danych
osobowych spoczywa na administratorze danych.
Administratorem danych w rozumieniu ustawy jest:
organ, jednostka organizacyjna, podmiot lub osoba,
decydująca o celach i środkach przetwarzania
danych osobowych. Zgodnie z art. 36 ust. 1
ustawy, administrator danych jest obowiązany
zastosować środki techniczne i organizacyjne
zapewniające ochronę danych osobowych
odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną. Przepisy ustawy enumeratywnie
wskazują zagrożenia związane z przetwarzaniem
danych osobowych. Dane osobowe należy
zabezpieczyć przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę
uprawnioną, przetwarzaniem z naruszeniem ustawy
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
W celu nadzorowania przestrzegania zasad ochrony
danych osobowych w organizacji wyznacza się
administratora bezpieczeństwa informacji (ABI). ABI
odpowiada między innymi za: nadzór nad zakresem

ANDRZEJ GUZIK

Z ARTYKUŁU

DOWIESZ SIĘ

co powinien zawierać dokument

polityki bezpieczeństwa danych

osobowych oraz poznasz

zasady jego opracowywania.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe zasady

ochrony danych osobowych.

dostępu osób upoważnionych do przetwarzania
danych osobowych, nadzór nad sposobem
przetwarzania danych osobowych w systemach
informatycznych, za kontrolę zgodności systemu
informatycznego z wymaganiami określonymi w
przepisach prawa oraz za reakcję na incydenty
naruszenia bezpieczeństwa danych osobowych.

Jak wynika z praktyki audytorskiej oraz z

ostatniego sprawozdania z działalności GIODO (za
2007 rok) instytucje nie radzą sobie z obowiązkiem
zabezpieczenia danych osobowych, wynikającym
z art. 36 – 39 ustawy (Rozdział 5 – Zabezpieczenie
danych), w tym z obowiązkiem prowadzenia
dokumentacji opisującej sposób przetwarzania
danych osobowych oraz zastosowanych środków
technicznych i organizacyjnych, które mają zapewnić
ochronę przetwarzanych danych osobowych.
Polityka bezpieczeństwa danych osobowych stanowi
podstawowy dokument opisujący sposób i zasady
przetwarzania danych osobowych u administratora
danych. Od dokumentacji przetwarzania danych
osobowych najczęściej rozpoczyna się kontrola u
administratora danych. W praktyce obserwuje się
dwie tendencje: albo dokumentacja opracowana
przez administratora danych jest zbyt lakoniczna, nie
zawiera wszystkich wymaganych informacji, albo
jest zbyt szczegółowa (zawiera za dużo szczegółów
technicznych). Częstym błędem jest publikacja
ww. dokumentacji na stronie WWW administratora
danych w zakładce BIP (Biuletyn Informacji
Publicznej). W tym miejscu warto zauważyć, że
sposób zabezpieczenia danych osobowych

Stopień trudności

Polityka

ochrony danych

osobowych

Polityka bezpieczeństwa, oprócz wymagań wynikających z przepisów

prawa, powinna uwzględniać zalecenia Generalnego Inspektora

Ochrony Danych Osobowych w tym zakresie oraz wymagania

polskich norm dotyczących bezpieczeństwa informacji.

57

POLITYKA BEZPIECZEŃSTWA

HAKIN9

5/2009

stanowi tajemnicę administratora danych
i wymaga zachowania poufności. Dostęp
do szczegółów, zgodnie z zasadą wiedzy
koniecznej, powinien mieć wąski krąg osób
– tylko osoby uprawnione i upoważnione.

Rozporządzenie Ministra Spraw

Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U.
z 2004 r. Nr 100, poz. 1024), konkretyzuje
ten obowiązek. Na dokumentację
przetwarzania danych osobowych składa
się polityka bezpieczeństwa oraz instrukcja
zarządzania systemem informatycznym
służącym do przetwarzania danych
osobowych. W starym rozporządzeniu, już
nieobowiązującym (Rozporządzenie Ministra
Spraw Wewnętrznych i Administracji z dnia
3 czerwca 1998 roku w sprawie określenia
podstawowych warunków technicznych i
organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych – Dz.
U. Nr 80, poz. 521, z późn. zm.) była mowa
jeszcze o instrukcji postępowania w sytuacji
naruszenia ochrony danych osobowych.
Dobra praktyka wskazuje na potrzebę
opracowania takiej instrukcji, choć prawo tego
nie wymaga. Problem naruszenia ochrony
danych osobowych jest zbyt poważny, aby
sprawę tę pozostawić bez uregulowania,
chyba że zasady te określono w innym
dokumencie (w polityce bezpieczeństwa
danych osobowych lub instrukcji zarządzania
systemem informatycznym służącym do
przetwarzania danych osobowych).

Administrator danych ma obowiązek

opracowania polityki bezpieczeństwa w
formie pisemnej zawsze, bez względu na to,
czy przetwarza dane osobowe w sposób
manualny, czy w systemie informatycznym.
Natomiast instrukcję zarządzania systemem
informatycznym służącym do przetwarzania
danych osobowych opracowuje się w
przypadku, gdy dane osobowe przetwarza się
tylko przy użyciu systemów informatycznych.

Polityka bezpieczeństwa, o której mowa

w rozporządzeniu, dotyczy grupy informacji
– danych osobowych. W odróżnieniu od
polityki bezpieczeństwa informacji, o której
mowa w polskiej normie PN-ISO/IEC 17799:
2007 Technika informatyczna – Techniki

bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem informacji,
w literaturze przedmiotu używa się pojęcia
polityka bezpieczeństwa danych osobowych.
Paragraf 4 rozporządzenia enumeratywnie
wylicza, co powinien zawierać dokument
polityki bezpieczeństwa. Na dokument ten
składają się wykazy i tabele opisujące: obszar
przetwarzania danych osobowych, zbiory
danych osobowych, strukturę zbiorów danych
osobowych, sposób przepływu danych
pomiędzy systemami informatycznymi
oraz środki organizacyjne i techniczne
zapewniające ochronę przetwarzanych
danych osobowych. Należy zauważyć,
że wyżej wymienione rozporządzenie
określa minimalne wymagania w zakresie
bezpieczeństwa danych osobowych.
Administrator danych może dodatkowo
zastosować inne środki ochrony w celu
zapewnienia bezpieczeństwa przetwarzania
danych osobowych, niż to wynika z wymagań
określonych w ustawie i rozporządzeniu
MSWiA.

Zdaniem autora, wymagania określone w

rozporządzeniu powinny stanowić załączniki
do polityki bezpieczeństwa. Natomiast
dokument polityki bezpieczeństwa powinien
zgodnie z definicją polityki, zawartą w normie
terminologicznej, (PN-I-02000: 2002 Technika

informatyczna – Zabezpieczenia w systemach
informatycznych – Terminologia) zawierać
zbiór praw, reguł i wskazówek praktycznych
regulujących sposób zarządzania, ochrony
i dystrybucji informacji wrażliwej. W naszym
przypadku danych osobowych.

Norma PN-ISO/IEC 17799 zaleca,

aby dokument polityki bezpieczeństwa
informacji zawierał deklarację zaangażowania
kierownictwa i określał podejście organizacji
do zarządzania bezpieczeństwem
informacji. Według normy, dokument polityki
bezpieczeństwa informacji powinien zawierać
w szczególności:

• definicję bezpieczeństwa informacji,

jego ogólne cele, zakres oraz znaczenie
bezpieczeństwa jako mechanizmu
umożliwiającego współużytkowanie
informacji,

• oświadczenie o intencjach kierownictwa,

potwierdzające cele i zasady
bezpieczeństwa informacji w odniesieniu
do strategii i wymagań biznesowych,

• strukturę wyznaczania celów stosowania

zabezpieczeń i zabezpieczeń, w tym
strukturę szacowania i zarządzania
ryzykiem,

• krótkie wyjaśnienie polityki

bezpieczeństwa, zasad, norm i wymagań

Tabela 1.

Zawartość dokumentu Polityka bezpieczeństwa danych osobowych wg przepisów prawa

Lp

Polityka bezpieczeństwa

danych osobowych wg przepisów prawa

1

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,

w których przetwarzane są dane osobowe

2

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych

3

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól

informacyjnych i powiązania między nimi

4

Sposób przepływu danych pomiędzy poszczególnymi systemami

5

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia

poufności, integralności i rozliczalności przetwarzanych danych

Rysunek 1.

Hierarchia polityk bezpieczeństwa

���������

�������������������������

�����������������������

����������������

�����������������������

����������������������

�����������������������

���������������������

����

��������

OBRONA

58

HAKIN9 5/2009

POLITYKA BEZPIECZEŃSTWA

59

HAKIN9

5/2009

zgodności mających szczególne
znaczenie dla organizacji:
• zgodność z prawem, regulacjami

wewnętrznymi i wymaganiami
wynikającymi z umów,

• wymagania dotyczące kształcenia,

szkoleń i uświadamiania w dziedzinie
bezpieczeństwa,

• zarządzanie ciągłością działania

biznesowego,

• konsekwencje naruszenia polityki

bezpieczeństwa,

• definicje ogólnych i szczególnych

obowiązków w odniesieniu do
zarządzania bezpieczeństwem informacji,
w tym zgłaszania incydentów związanych
z bezpieczeństwem informacji,

• odsyłacze do dokumentacji mogące

uzupełniać politykę, np. bardziej
szczegółowych polityk bezpieczeństwa i
procedur dotyczących poszczególnych
systemów informatycznych lub
zalecanych do przestrzegania przez
użytkowników zasad bezpieczeństwa.

Polityka bezpieczeństwa informacji jest
polityką nadrzędną, dotyczy wszystkich grup
informacji przetwarzanych w organizacji:
danych osobowych, informacji biznesowych
(informacji stanowiących tajemnice
przedsiębiorstwa), informacji niejawnych
i innych tajemnic prawnie chronionych.
Natomiast polityka bezpieczeństwa danych
osobowych jest polityką bezpieczeństwa
drugiego poziomu, dotyczy grupy informacji
– danych osobowych.

Na podmiotach, które realizują zadania

publiczne ciąży dodatkowy obowiązek
opracowania polityki bezpieczeństwa
dla systemów teleinformatycznych
(PBSI) używanych przez ten podmiot do
realizacji zadań publicznych. Zgodnie z
Rozporządzeniem Rady Ministrów z dnia
11 października 2005 roku w sprawie
minimalnych wymagań dla systemów
informatycznych (Dz. U. Nr 212, poz. 1766),
przy opracowywaniu PBSI należy uwzględniać
postanowienia polskich norm z zakresu
bezpieczeństwa informacji (głównie ISO
17779). Powyższa polityka powinna odnosić
się również do systemów informatycznych,
w których przetwarza się dane osobowe.
Jest to polityka bezpieczeństwa trzeciego
poziomu (poziom pierwszy stanowi polityka
bezpieczeństwa informacji, poziom drugi
natomiast stanowią polityki bezpieczeństwa
grup informacji, w tym polityka
bezpieczeństwa danych osobowych).

Załącznikiem do PBSI powinna

być wówczas instrukcja zarządzania
systemem informatycznym służącym do
przetwarzania danych osobowych, która
konkretyzuje zasady przetwarzania danych
osobowych przetwarzanych w systemie
informatycznym. Instrukcja ta razem z polityką
bezpieczeństwa danych osobowych składa
się na dokumentację przetwarzania danych
osobowych.

Dokumentację bezpieczeństwa

opracowuje się po przeprowadzeniu
analizy zagrożeń i ryzyka z uwzględnieniem
warunków charakterystycznych dla jednostki
organizacyjnej, w której dane osobowe
mają być przetwarzane. Analizy ryzyka
można dokonać stosując na przykład
metody opisane w raporcie technicznym
ISO/IEC TR 13335-3 Technika informatyczna
– Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych Część 3: Techniki
zarządzania bezpieczeństwem systemów
informatycznych. Raport ten przedstawia

Tabela 2.

Zawartość dokumentu Polityka bezpieczeństwa danych osobowych wg

dobrych praktyk

Lp

Polityka bezpieczeństwa

danych osobowych wg dobrych praktyk

1

Podstawa prawna

2

Cel i zakres dokumentu

3

Postanowienia administratora danych

4

Struktura zarządzania ochroną danych osobowych

5

Zasady ochrony danych osobowych

6

Odpowiedzialność za ochronę danych osobowych

7

Zakres rozpowszechnienia dokumentu

8

Załącznik nr 1 – Wykaz budynków, pomieszczeń lub części pomieszczeń,

tworzących obszar, w których przetwarzane są dane osobowe

9

Załącznik nr 2 – Wykaz zbiorów danych osobowych wraz ze wskazaniem

programów zastosowanych do przetwarzania tych danych

10 Załącznik nr 3 – Opis struktury zbiorów danych wskazujący zawartość

poszczególnych pól informacyjnych i powiązania między nimi

11 Załącznik nr 4 – Sposób przepływu danych pomiędzy poszczególnymi systemami
12 Załącznik nr 5 – Określenie środków technicznych i organizacyjnych niezbędnych

dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Rysunek 2.

Zarządzanie ryzykiem

������

��������������

����������

���������
����������

�������

��������

�����������������

��������������

����������
�����������

������������

����������

��������

������

���������

�����������

�����

��������

�����

����������

�����������

����������

�������

��������

����������

OBRONA

58

HAKIN9 5/2009

POLITYKA BEZPIECZEŃSTWA

59

HAKIN9

5/2009

cztery warianty podejścia do analizy
ryzyka: podejście podstawowego poziomu
bezpieczeństwa, podejście nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica pomiędzy
nimi dotyczy stopnia szczegółowości analizy
ryzyka.

W oparciu o wyniki analizy ryzyka

dobiera się zabezpieczenia. Zastosowane
zabezpieczenia powinny być efektywne
kosztowo i uwzględniać wymagania
wynikające z przepisów prawa, wymagania
biznesowe i wymagania z analizy ryzyka.
Ryzyko, jakie powstaje po wprowadzeniu
zabezpieczeń nazywamy ryzykiem
szczątkowym.

Polityka bezpieczeństwa danych

osobowych powinna zawierać w
szczególności dane określone w
rozporządzeniu. Przy jej konstruowaniu
należy również uwzględnić zalecenia
Generalnego Inspektora Ochrony
Danych Osobowych – Wytyczne w
zakresie opracowania i wdrożenia
polityki bezpieczeństwa oraz opcjonalnie
zapisy rozdziału 7.2 – Polityka
bezpieczeństwa instytucji w zakresie
systemów informatycznych i załącznika
A – Przykładowy spis treści polityki
bezpieczeństwa instytucji w zakresie
systemów informatycznych raportu
technicznego ISO/IEC TR 13335-3.

Dobrą praktyką stosowaną przez

niektórych administratorów danych jest
opracowanie w postaci załączników do ww.
dokumentacji wzorów innych dokumentów, np.
wzorów: umowy powierzenia przetwarzania
danych osobowych, ewidencji osób
upoważnionych do przetwarzania danych
osobowych, upoważnienia do przetwarzania
danych osobowych, dokumentu zapoznania
się z dokumentacją bezpieczeństwa
przetwarzania danych osobowych i
zobowiązania do przestrzegania przepisów
prawa i regulacji wewnętrznych administratora
danych, świadectwa potwierdzającego udział
w szkoleniu z zakresu danych osobowych itp.

Oprócz opracowania dokumentu

polityki bezpieczeństwa, na administratorze
danych spoczywa obowiązek jej
wdrożenia. Przez wdrożenie należy
rozumieć opublikowanie i zapoznanie
osób zatrudnionych przy przetwarzaniu
danych osobowych z jej postanowieniami,
np. przekazanie im spersonalizowanych
wyciągów z ww. dokumentacji. Dobrą

praktyką jest zorganizowanie przeszkolenia
osób upoważnionych do przetwarzania
danych osobowych oraz podpisanie
przez te osoby zobowiązania do
przestrzegania zasad ochrony danych
osobowych. Nie należy zapominać o
okresowym przeglądzie ww. dokumentacji
i dostosowaniu jej do pojawiających się
nowych zagrożeń i zmian środowiska
eksploatacji, warunków technicznych i
organizacyjnych.

W niniejszym artykule autor ograniczył

się jedynie do przedstawienia zasad
opracowywania polityki bezpieczeństwa
zgodnie z wymogami wynikającymi z
przepisów prawa.

Obszar przetwarzania
danych osobowych

Definiując obszar przetwarzania danych
osobowych należy mieć na uwadze wszystkie
pomieszczenia, w których przetwarza się
dane osobowe w sposób tradycyjny, jak i przy
użyciu systemu informatycznego, tzn. wykonuje
się operacje na danych osobowych, takie
jak: zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i
usuwanie. W związku z tym, należy wskazać

pomieszczenia, w których zlokalizowane
są zbiory danych tradycyjne (dokumenty
źródłowe, kartoteki, skorowidze, wykazy i inne
zbiory ewidencyjne), pomieszczenia, w których
zlokalizowany jest sprzęt informatyczny służący
do przetwarzania danych osobowych: serwery,
macierze dyskowe, stacje robocze, inne
urządzenia komputerowe, jak i pomieszczenia,
w których przechowuje się nośniki danych:
papierowe (dokumentację papierową,
tabulogramy, wydruki), nośniki elektroniczne
(taśmy, dyski, płyty) oraz pomieszczenie
archiwum, magazynki, gdzie składowany jest
uszkodzony sprzęt i nośniki danych, skrytki
bankowe, gdzie przechowywane są kopie
zapasowe itp.

W przypadku, gdy dostęp do zbiorów

danych przetwarzanych w systemach
informatycznych za pośrednictwem sieci
telekomunikacyjnej mają inne podmioty, w
polityce bezpieczeństwa należy uwzględnić
również informacje o tych podmiotach
(nazwę podmiotu, siedzibę, pomieszczenia,
w których przetwarza się dane osobowe).
Wymóg ten dotyczy podmiotów, które mają
szerszy zakres uprawnień niż wgląd tyko
do swoich własnych danych lub danych
udostępnionych publicznie.

Tabela 3.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w

którym przetwarzane są dane osobowe

Lp.

Jednostka

organizacyjna/adres

Budynek

Numer

pomieszczenia

1

2

3

4

Tabela 4.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów

zastosowanych do przetwarzania tych danych

Lp.

Nazwa

zbioru danych

Sposób

przetwarzania/

nazwa systemu

informatycznego/

nazwa modułu

programowego

Lokalizacja

zbioru

danych

Miejsce

przetwarzania

danych/budynek/nr

pomieszczenia/

nazwa komputera/

nazwa urządzenia

1

2

3

4

5

Tabela 5.

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól

informacyjnych i powiązania między nimi

Lp Nazwa zbioru

danych

Opis struktury zbioru

danych/opis pól

informacyjnych

Nazwa systemu

informatycznego

1

2

3

4

OBRONA

60

HAKIN9 5/2009

POLITYKA BEZPIECZEŃSTWA

61

HAKIN9

5/2009

Wykaz zbiorów danych osobowych

W polityce bezpieczeństwa należy również
wskazać wszystkie zbiory danych oraz nazwy
programów (systemów informatycznych)
używanych do ich przetwarzania.

W przypadku rozbudowanych systemów

informatycznych należy również wskazać
nazwy modułów programowych. Wykaz
zbiorów danych osobowych powinien
być sporządzony tak szczegółowo, aby
zawierał precyzyjną lokalizację zbioru
danych oraz miejsca przetwarzania danych
z dokładnością do nazwy komputera
lub innego urządzenia służącego do
przetwarzania danych osobowych, np.
macierz dyskowa, biblioteka optyczna
(budynek, numer pomieszczenia, numer
inwentarzowy sprzętu komputerowego).
Ewidencja ta dotyczy zarówno zbiorów
danych, programów, jak i modułów
programowych używanych do ich
przetwarzania.

Opis struktury zbiorów danych

W tej części polityki bezpieczeństwa należy
opisać strukturę wszystkich zbiorów danych i
zakres informacji zgromadzonych w każdym
zbiorze, które przetwarza administrator
danych. Opis ten można przedstawić
w postaci formalnej, np. w tabelach, w
postaci graficznej lub w postaci opisowej.
Opis struktury zbiorów danych powinien
zawierać opis wszystkich pól informacyjnych
oraz powiązania pomiędzy nimi. Opisy
poszczególnych pól informacyjnych powinny
jednoznacznie wskazywać kategorie
danych w nich przechowywanych. Wymóg
wskazania powiązań pomiędzy polami
informacyjnymi należy rozumieć jako
wymóg wskazania wszystkich tych danych,
które poprzez występujące relacje można
skojarzyć z określoną osobą fizyczną.
Opis ten powinien być przedstawiony
w sposób czytelny i zrozumiały. Nie
jest konieczne przedstawianie pełnej

dokumentacji struktury zbioru danych z
wyszczególnieniem oryginalnych nazw
poszczególnych pól informacyjnych, kluczy
rekordów itp.

Sposób przepływu
danych osobowych

W tym punkcie polityki bezpieczeństwa
należy przedstawić powiązania, sposób
przepływu danych pomiędzy poszczególnymi
systemami informatycznymi i zbiorami
danych w nich przetwarzanych. Nie
jest wymagany tutaj szczegółowy opis
techniczny. Najistotniejsze jest wskazanie
zakresu przesyłanych danych, podmiotów,
do których są one przekazywane oraz
ogólne informacje na temat sposobu ich
przesyłania (Internet, poczta elektroniczna,
inne rozwiązania). W opisie sposobu
przepływu danych należy przedstawić
informacje o danych, które przenoszone są
pomiędzy systemami w sposób manualny,
przy wykorzystaniu zewnętrznych nośników
danych, lub półautomatycznie za pomocą
funkcji teletransmisji (eksport/import danych).
Z opisu tego powinna wynikać kategoria
przetwarzanych danych osobowych w
systemach informatycznych (dane zwykłe,
dane wrażliwe), sposób wymiany danych
pomiędzy systemami, a zwłaszcza, czy
systemy te połączone są z siecią publiczną
oraz wynikający z tych uwarunkowań poziom
bezpieczeństwa przetwarzania danych
osobowych.

Środki techniczne i organizacyjne
ochrony danych osobowych

Przepisy prawa nakładają na
administratora danych szereg obowiązków.
Administrator danych jest obowiązany
m. in. zastosować odpowiednie środki
techniczne i organizacyjne adekwatne
do zagrożeń i kategorii przetwarzanych
danych osobowych. W tej części polityki
bezpieczeństwa należy opisać dla każdego
zbioru danych (systemu informatycznego)
wdrożone środki techniczne i organizacyjne
w celu zapewnienia bezpieczeństwa
przetwarzanych danych osobowych, środki
dla zapewnienia poufności, integralności
i rozliczalności danych osobowych.
Zastosowane środki powinny wynikać
z analizy zagrożeń (ryzyk) związanych z
przetwarzaniem danych osobowych oraz
z przyjętego poziomu bezpieczeństwa
przetwarzania danych osobowych w

Tabela 6.

Sposób przepływu danych pomiędzy poszczególnymi systemami

Lp.

Nazwa

zbioru

danych

(1)

Nazwa systemu

informatycznego

(1)

Sposób

przepływu/

kierunek

przepływu

pomiędzy (1)

i (2)

Nazwa

zbioru

danych

(2)

Nazwa systemu

informatycznego

(2)

1

2

3

4

5

6

Tabela 7.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia

poufności, integralności i rozliczalności przetwarzanych danych

Lp Nazwa zbioru danych/nawa

systemu informatycznego

Środki organizacyjne

Środki techniczne

1

2

3

4

Tabela 8.

Środki techniczne

Lp

Lista środków technicznych

1

kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej oraz do

zasobów programowych (hasło do BIOS-u, hasło wygaszacza ekranu, hasło

logowania do systemu operacyjnego, hasło logowania do aplikacji, hasło sieciowe)

2

program antywirusowy (aktualizowana na bieżąco baza sygnatur wirusów)

3

uaktualniane na bieżąco oprogramowanie systemowe i użytkowe

4

kopie zapasowe zbiorów danych oraz programów służących do przetwarzania

danych

5

awaryjne zasilanie zestawów komputerowych, na których przetwarza się dane

osobowe

6

szyfrowanie danych osobowych przetwarzanych na komputerach przenośnych

7

szyfrowanie danych osobowych przesyłanych przez sieć publiczną

8

zapora ogniowa

9

system wykrywania intruzów

OBRONA

60

HAKIN9 5/2009

POLITYKA BEZPIECZEŃSTWA

61

HAKIN9

5/2009

konkretnym systemie informatycznym.
Niezbędne jest zapewnienie minimalnych
środków bezpieczeństwa dla przyjętego
poziomu bezpieczeństwa (podstawowego,
podwyższonego lub wysokiego) zgodnie
z wymogami określonymi w załączniku
do rozporządzenia. Środki te powinny
jednocześnie zapewniać rozliczalność
działań (osób i systemów) związanych z
przetwarzaniem danych osobowych.

Wśród środków technicznych

służących do ochrony danych osobowych
można wymienić m. in. środki: sprzętowe,
programowe (oprogramowanie
systemowe, użytkowe, narzędziowe) oraz
telekomunikacyjne (oprogramowanie
urządzeń teletransmisji).

Wśród środków organizacyjnych

służących do ochrony danych
osobowych należy wymienić przede
wszystkim: opracowanie i wdrożenie
dokumentacji przetwarzania danych

osobowych, wyznaczenie administratora
bezpieczeństwa informacji, wydanie
upoważnień do przetwarzania danych
osobowych, przydzielenie identyfikatorów,
zorganizowanie przeszkolenia dla osób
zatrudnionych przy przetwarzaniu danych
osobowych itp.

Kontrola i audyt danych osobowych

Problematyka kontroli przetwarzania i ochrony
danych osobowych uregulowana została w
ustawie o ochronie danych osobowych w
sposób ogólny. Ustawa zawiera stosunkowo
niewiele przepisów z tego zakresu. Kontrola ta
może być realizowana przez różne podmioty.
Najczęściej jednak mamy do czynienia
z kontrolą instytucjonalną, sprawowaną
przez organ ochrony danych osobowych
– Generalnego Inspektora Ochrony Danych
Osobowych (GIODO). Wówczas celem
kontroli jest ustalenie stanu faktycznego
w zakresie przestrzegania przez podmiot

kontrolowany przepisów o ochronie danych
osobowych oraz udokumentowanie
dokonanych ustaleń.

Oprócz kontroli instytucjonalnej możemy

jeszcze wyróżnić kontrolę indywidualną,
zgodnie z art. 32 ust. 1 ustawy – sprawowaną
przez osoby, których dane dotyczą,
kontrolę funkcjonalną – sprawowaną przez
podmioty przetwarzające dane osobowe
(administratora danych, administratora
bezpieczeństwa informacji, podmioty
przetwarzające dane osobowe na
zlecenie) oraz kontrolę uzupełniającą
- sprawowaną przez inne podmioty (sądy
administracyjne na podstawie art. 21 ust.
2 ustawy oraz podmioty niewskazane w
przepisach ustawy, np. prokuratura, sądy
powszechne, Trybunał Konstytucyjny,
Europejski Trybunał Praw Człowieka,
Europejski Trybunał Sprawiedliwości, Rzecznik
Praw Obywatelskich oraz niektóre organy
administracji publicznej).

Tabela 9.

Środki organizacyjne

Lp

Lista środków organizacyjnych

1

wydane upoważnienia do przetwarzania danych osobowych (określony zakres dostępu do danych osobowych)

2

przydzielone identyfikatory

3

przeszkoleni pracownicy zatrudnieni przy przetwarzaniu danych osobowych (z przepisów prawa i przepisów wewnętrznych

o ochronie danych osobowych)

4

opracowane i wdrożone uregulowania wewnętrzne dotyczące ochrony danych osobowych (polityka bezpieczeństwa danych

osobowych, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, procedury

eksploatacyjne, itp.)

5

opracowane procedury przekazywania urządzeń i nośników zawierających dane osobowe poza obszar przetwarzania danych

6

opracowane procedury oznakowania, przechowywania i niszczenia nośników zawierających dane osobowe (obowiązek

stosowania niszczarek)

7

opracowane procedury likwidacji urządzeń zawierających dane osobowe

8

określone zasady sprzątania pomieszczeń, w których przetwarza się dane osobowe (sprzątanie realizowane w godzinach pracy

i pod nadzorem)

9

opracowane procedury pobierania/zdawania kluczy do pomieszczeń, w których przetwarza się dane osobowe

10

wyznaczone pomieszczenia do przetwarzania danych osobowych (na podstawie analizy ryzyka)

11

zainstalowane zabezpieczenia mechaniczne w pomieszczeniach, w których przetwarza się dane osobowe (kraty, rolety

antywłamaniowe, atestowane zamki, pełne drzwi)

12

zapewniony nadzór nad komputerami przenośnymi, na których przetwarza się dane osobowe

13

oznakowane komputery, na których przetwarza się dane osobowe

14

dane osobowe przetwarzane są na wydzielonych stanowiskach komputerowych lub w wydzielonych sieciach lokalnych

(w przypadku systemów sieciowych), które nie są podłączone do sieci publicznej

15

zapewniona jest kontrola dostępu do pomieszczeń, w których przetwarza się dane osobowe

16

konserwacja i naprawy sprzętu komputerowego przeprowadzane są pod nadzorem osoby upoważnionej

17

przeprowadzana jest okresowo analiza ryzyka zabezpieczenia danych osobowych przetwarzanych manualnie i elektronicznie

w systemach informatycznych

18

monitorowany jest stan ochrony danych osobowych, a w szczególności sposób reagowania na incydenty związane z naruszeniem

bezpieczeństwa przetwarzania danych osobowych

OBRONA

62

HAKIN9 5/2009

Nieprawidłowości w zakresie

przetwarzania danych osobowych wynikające z kontroli GIODO

• nieopracowanie i niewdrożenie polityki bezpieczeństwa danych osobowych,
• nieopracowanie i niewdrożenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
• dokument polityki bezpieczeństwa danych osobowych nie spełnia wymagań wynikających z rozporządzenia,
• dokument instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych nie spełnia wymagań wynikających

z rozporządzenia,

• niewyznaczenie administratora bezpieczeństwa informacji
• nienadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych,
• nieprowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
• niezgłoszenie do rejestracji zbiorów danych osobowych,
• rozwiązania organizacyjne i techniczne nie zapewniają ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii

danych objętych ochroną,

• systemy informatyczne służące do przetwarzania danych osobowych nie spełniają wymogów o charakterze technicznym,
• niezapewnienie mechanizmów kontroli dostępu do danych osobowych,
• niedopełnienie wobec osób, których dane dotyczą obowiązku informacyjnego wynikającego z art. 24 ust. 1 ustawy o ochronie danych

osobowych,

• niewykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych osobowych,
• zbieranie danych osobowych pracowników w szerszym zakresie niż to wynika z przepisów kodeksu pracy,
• udostępnianie danych osobowych osobom nieupoważnionym.

Podstawowe pojęcia związane z ochroną danych osobowych

• dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
• administrator danych – organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych,
• administrator bezpieczeństwa informacji – osoba nadzorująca przestrzeganie zasad ochrony danych osobowych,
• zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od

tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

• przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie,

opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,

• system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych

zastosowanych w celu przetwarzania danych,

• zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych

zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

• hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,
• identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania

danych osobowych w systemie informatycznym,

• uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu,
• poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom,
• rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
• integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
• usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
• raport – przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych,
• teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,
• sieć publiczna – publiczna sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych.

Podstawy prawne

• Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych

osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji

Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 100, poz. 1025),

• Zalecenia Generalnego Inspektora Ochrony Danych Osobowych:

• Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa,
• ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych.

POLITYKA BEZPIECZEŃSTWA

63

HAKIN9

5/2009

Oprócz ww. kontroli w praktyce możemy spotkać się z

audytami zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych. Problematyka
audytu w omawianym zakresie nie doczekała się dotąd
regulacji prawnej. Audyty zgodności przeprowadzane
są na ogół przez firmy audytorskie. Audyty te wykazują
szereg nieprawidłowości związanych z procesem
przetwarzania danych osobowych. W celu samodzielnego
przygotowania się administratora danych do takiego
audytu lub ewentualnej kontroli przez inspektorów GIODO,
można skorzystać z opracowania Stowarzyszenia ISACA
(Stowarzyszenie do spraw audytu i kontroli systemów
informatycznych) Wytycznej zarządzania i nadzoru nad
systemami informatycznymi pod kątem zgodności z
ustawą o ochronie danych osobowych – UODO Survival
Kit 2.1 dostępnej pod adresem: https://www.isaca.org.pl/
index.php?m=show&id=247.

Polecam korzystanie z powyższego opracowania

w codziennej pracy z danymi osobowymi. Wytyczne te
przeznaczone są dla wszystkich osób zainteresowanych
zapewnieniem zgodności działania systemów
informatycznych z ustawą. Największym atutem powyższego
opracowania jest lista pytań kontrolnych.

Pomocny tutaj może być również brytyjski podręcznik

audytu ochrony danych (ang. Data Protection Audit Manual),
w którym opisana została metodologia prowadzenia audytu.
Podręcznik ten jest dostępny na stronie internetowej: http:
//www.ico.gov.uk/upload/documents/library/data_protection/
detailed_specialist_guides/ data_protection_complete_audit_
guide.pdf. Integralną częścią podręcznika są listy kontrolne,
które stanowią przydatną pomoc przy przeprowadzaniu
audytu.

Podsumowanie

Przepisy prawa określają minimalne wymagania związane
z zawartością dokumentu polityka bezpieczeństwa danych
osobowych. Administrator danych może dodatkowo
zastosować inne środki ochrony w celu zapewnienia
bezpieczeństwa przetwarzania danych osobowych niż to
wynika z wymagań określonych w ustawie i rozporządzeniu
MSWiA. Oprócz nich należy uwzględnić zalecenia
Generalnego Inspektora Ochrony Danych Osobowych
dotyczące Wytycznych w zakresie opracowania i wdrożenia
polityki bezpieczeństwa oraz polskie normy dotyczące
bezpieczeństwa informacji, które stanowią źródło tzw. dobrych
praktyk, a w szczególności: PN-ISO/IEC 17799: 2007 Technika
informatyczna – Techniki bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem informacji i PN-ISO/IEC 27001:
2007 Technika informatyczna – Techniki bezpieczeństwa
– Systemy zarządzania bezpieczeństwem informacji
– Wymagania.

Andrzej Guzik

Audytor systemu zarządzania bezpieczeństwem informacji i systemu

zarządzania jakością. Specjalista w zakresie ochrony informacji prawnie

chronionych, redaktor portalu www.ochronainformacji.pl

Kontakt z autorem: a.guzik@ochronainformacji.pl