5 Ochrona informacji w administracji


OCHRONA INFORMACJI W ADMINISTRACJI
OCHRONA INFORMACJI W ADMINISTRACJI
Dr inż. Krzysztof Urbaniak
BEZPIECZECSTWO INFORMACJI
BEZPIECZECSTWO INFORMACJI
 & Jednostki administracji publicznej winny ustawowo zapewnić
odpowiednie zasady organizacji ochrony informacji.
Naruszenia ochrony danych mogą być dokonywane
drogą elektroniczną lub tradycyjną.
BEZPIECZECSTWO INFORMACJI
BEZPIECZECSTWO INFORMACJI
" Poufność  zapewnienie, że informacja jest dostępna jedynie
osobom upoważnionym.
" Integralność  oznacza zapewnienie dokładności i kompletności
informacji oraz metod jej przetwarzania.
" Dostępność  definiuje się jako zapewnienie, że osoby
upoważnione mają dostęp do informacji i związanych z nią
aktywów wtedy, gdy jest to potrzebne.
BEZPIECZECSTWO INFORMACJI
BEZPIECZECSTWO INFORMACJI
Niebezpieczeństwo związane z ochroną informacji często wiąże się
z niską świadomością osób pracujących w urzędzie.
 Zasada czystego biurka .
Telefoniczne potwierdzanie danych.
ZAGROŻENIE
ZAGROŻENIE
" Potencjalna przyczyna niepożądanego incydentu, mogącego
wpłynąć na działanie systemu informatycznego lub jednostki.
" Celowe lub przypadkowe działanie, wywołujące sytuację, mogącą
(s)powodować niedostępność danych (czasowe lub trwałe
uniemożliwienie przetwarzania zbiorów danych), ich niekontrolowany
wypływ, ujawnienie czy utratę lub przekłamanie.
Kto odpowiada za ochronę danych ?
Kto odpowiada za ochronę danych ?
Zgodnie z ż3 i ż4 rozporządzenia Ministra MSWiA z dnia 29 kwietnia 2004r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (DzU
nr 100, poz.1024), do opracowania i wdrożenia polityki bezpieczeństwa
zobowiązany jest  administrator danych .
POLITYKA BEZPIECZECSTWA INF.
POLITYKA BEZPIECZECSTWA INF.
Praktyki i procedury regulujące sposób zarządzania,
ochrony i dystrybucji informacji danych osobowych
wewnątrz organizacji, mechanizmy zmniejszające ryzyko
naruszenia przepisów o ochronie danych oraz
ograniczające następstwa ewentualnego ich naruszenia.
POLITYKA BEZPIECZECSTWA INF.
POLITYKA BEZPIECZECSTWA INF.
Zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (tekst jednolity: DzU 2002 r. nr 101
poz. 926 ze zm.) polityka bezpieczeństwa odnosi się kompleksowo do
problemu zabezpieczania zarówno danych osobowych
przetwarzanych tradycyjnie, jak i danych przetwarzanych
w systemach informatycznych u administratora danych oraz
u odbiorców danych.
CEL POLITYKI BEZPIECZECSTWA INF.
CEL POLITYKI BEZPIECZECSTWA INF.
Celem PB w organizacji jest określenie zasad ochrony
informacji, określenie odpowiedzialności i zaangażowania
kierownictwa, doprecyzowanie zadań osób funkcyjnych
i użytkowników.
CEL POLITYKI BEZPIECZECSTWA INF.
CEL POLITYKI BEZPIECZECSTWA INF.
" Uniemożliwienie nieautoryzowanego dostępu do danych osobowych
gromadzonych i przetwarzanych w jednostce.
" Ograniczenie ryzyka błędu ludzkiego, kradzieży, oszustwa lub
niewłaściwego użytkowania zasobów.
" Zapewnienie odpowiedniej świadomości użytkowników.
" Zapewnienie bezawaryjnego i bezpiecznego działania urządzeń
przetwarzania informacji.
Zakres obowiązywania PBI.
Zakres obowiązywania PBI.
Przepisy PBI obowiązują wszystkich użytkowników, bez względu na
formę zatrudnienia, rodzaj wykonywanej pracy, wymiar czasu oraz
zajmowane stanowisko.
Problematyka PBI obejmuje również takie zagadnienia jak zakres
odpowiedzialności administratora danych oraz administratora
bezpieczeństwa informacji.
Administrator Bezpieczeństwa Informacji
Administrator Bezpieczeństwa Informacji
" określenie zasad ustanowienia PBI,
" sporządzanie raportów z realizacji PBI,
" kontrola przestrzegania instrukcji i procedur związanych
z przetwarzaniem danych osobowych,
" zasady opracowania struktury organizacyjnej ochrony danych
w organizacji,
" określenie zadań użytkowników,
Administrator Bezpieczeństwa Informacji
Administrator Bezpieczeństwa Informacji
" określenie zadań ABI,
" sporządzenie i prowadzenie dokumentacji,
" nadawanie uprawnień do przetwarzania danych,
" określenie zagrożeń wpływających na stan ochrony danych,
" określenie zadań w przypadku naruszenia danych osobowych,
" inne zadania związane z wykonywaniem obowiązków.
Dokument PBI
Dokument PBI
Dokument PBI przygotowywany jest na piśmie. Wyznacza granice
oraz procedury postępowania użytkowników, a także ich
odpowiedzialność w sytuacji naruszeń bezpieczeństwa. Powinien
także zawierać  deklarację zaangażowania kierownictwa w procesie
przygotowania instytucji do zarządzania bezpieczeństwem informacji.
Dokument PBI
Dokument PBI
Przy tworzeniu dokumentu PBI należy wziąć pod uwagę takie zagadnienia
jak:
" ochrona danych osobowych i prywatności osób, ochronę
dokumentów instytucji, prawo własności intelektualnej,
" odpowiedzialność związaną z bezpieczeństwem informacji,
" edukację i szkolenia użytkowników,
" wsparcie i zaangażowanie kadry kierowniczej,
" zgłaszanie przypadków naruszenia bezpieczeństwa,
" upowszechnienie PBI wśród wszystkich pracowników.
Dokument PBI
Dokument PBI
Dokument powinien opisywać przypadki naruszenia
bezpieczeństwa systemów, pozwolić na ocenę
i udokumentowanie nieprawidłowości oraz zapewnić właściwy
sposób postępowania przy przetwarzaniu danych osobowych.
Zabezpieczenie danych osobowych
Zabezpieczenie danych osobowych
Praktyki i procedury zapobiegające naruszeniu zasad ochrony
informacji, mechanizmy zmniejszające ryzyko wystąpienia
takiego zagrożenia, ograniczające następstwa ewentualnego
błędu w tym zakresie, wykrywające niepożądane incydenty
i ułatwiające odtworzenie prawidłowego stanu systemu.
Zabezpieczenie danych osobowych
Zabezpieczenie danych osobowych
Efektywna ochrona wymaga wielu zróżnicowanych
zabezpieczeń i zależy od spełnienia wszystkich
warunków dotyczących organizacji pracy, spraw
kadrowych, zabezpieczenia fizycznego obiektów
i pomieszczeń, odpowiedniej eksploatacji platformy
sprzętowej oraz stosowanego oprogramowania
użytkowego.
DZIKUJ ZA UWAG


Wyszukiwarka

Podobne podstrony:
Ochrona informacji niejawnych
Ochrona informacji niejawnych
Wyklad 3 Ochrona informacji
42$2110 specjalista ochrony informacji niejawnych
Ustawa o ochronie informacji niejawnych
informatyk administrator sieci (
informatyk administrator sieci ( id 220398
Stan ochrony informacji niejawnych
Ustaw o systemie informacji w ochronie zdrowia

więcej podobnych podstron