07 Lis

Co ABI powinien zrobić w przypadku naruszenia bezpieczeństwa informacji

Nim dłużej pełnię obowiązki administratora bezpieczeństwa informacji, tym bardziej dostrzegam złożoność procesu nadzorowania zgodności przetwarzania danych z przepisami (a właściwie wszelkich informacji chronionych, bo nigdy nie ograniczam się tylko do danych osobowych) oraz ilość obowiązków, która jest proporcjonalna do zakresu działalności klienta. Nim więcej dzieje się u niego (a w agencjach reklamowych, czy firmach eventowych dzieje się bardzo dużo) tym więcej jest pracy. Czasami mam wrażenie, że nie sposób na bieżąco kontrolować wszystkie zapisy umowne, regulaminy, wydarzenia, systemy informatyczne. W ostatnim czasie rośnie też liczba drobnych incydentów, które wymagają ode mnie, jako ABI, przeprowadzenia sprawdzenia oraz działań naprawczych. Incydenty bezpieczeństwa to codzienność ABI. Większość wynika ze zwykłej niewiedzy, reszta z lenistwa lub zaniedbania. Dobry ABI powinien reagować nawet na drobne naruszenia bezpieczeństwa. Ponieważ drobne zaniedbania generują większe problemy, a z czasem nawarstwiają się i tworzą wielki problem.

Moje wskazówki dla ABI, jak radzić sobie ze stwierdzeniem naruszenia bezpieczeństwa informacji

Każdy incydent wymaga indywidualnego podejścia. Nie ignoruję żadnego zgłoszenia, nawet jeżeli już po pierwszym zdaniu, wiem „że to żaden problem”. Chcę budować więź zaufania pomiędzy ABI, a ludźmi przetwarzającymi dane osobowe, aby wiedzieli, że każdy ich problem traktuję poważnie i jestem od ich rozwiązywania. W efekcie wraz z wydłużającym się stażem pracy, jako ABI otrzymuję coraz więcej zgłoszeń i jestem w stanie wykryć coraz istotniejsze problemy. Read More

25 Paź

Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych z przepisami

Piszecie do mnie ostatnio z prośbą o wzór sprawozdania ze sprawdzenia zgodności z przepisami o ochronie danych osobowych. Prawda jest taka, że jest on już od bardzo dawna na moim blogu, ale po prostu chyba za bardzo ukryty, bo nie możecie do niego dotrzeć.

Przypomnę tylko krótko, że przeprowadzanie regularnych sprawdzeń ze zgodności przetwarzania danych z przepisami, jest obowiązkiem każdego administratora danych osobowych. Jest to podstawa do kontroli zgodności przetwarzania i stosowania odpowiednich środków. Może to być także forma analizy ryzyka i zagrożeń (a konkretne szacowania ryzyka). Gdy został powołany administrator bezpieczeństwa informacji, to jego obowiązkiem jest przeprowadzanie sprawdzeń. Jeżeli ABI nie ma, to sprawdzenia przeprowadza dyrektor/prezes/wojewoda itd. lub wyznaczona do tego przez niego osoba. Z takiego sprawdzenia przeprowadzonego w jednostce, która nie ma ABI wystarczy przygotować notatkę służbową (nie ma w ogóle obowiązku dokumentowania sprawdzenia, jednakże wydaje się to bardzo zasadne). Read More

20 Cze

Roczne sprawozdanie dla GIODO – o co chodzi?

Pewnie poprawię Wam nastrój dementując szerzące się ostatnio informacje o konieczności przygotowania do końca czerwca rocznego raportu dla GIODO.  O co chodzi? Gdy nie wiadomo o co chodzi, to pewnie chodzi o pieniądze… A jakie raporty trzeba przygotowywać?

Gdy nie ma ABI:

  1. Administrator Danych (instytucja/firma) przygotowuje raporty z incydentów, które miały miejsce (w szczególności notatki służbowe), określając co się stało i jakie środki zapobiegawcze zostały podjęte.
  2. Potwierdzenia przeszkolenia pracowników w zakresie bezpieczeństwa informacji.
  3. Raz do roku należy przeprowadzić sprawdzenie zabezpieczeń technicznych i organizacyjnych, które należałoby udokumentować. Gdy jest ABI przepisy wykonawcze do ustawy określają bardzo precyzyjnie, jak ma wyglądać sprawozdanie ze sprawdzenia, gdy nie ma ABI, wystarczy notatka służbowa.

Przykładowa zawartość notatki sporządzonej przez Administratora Danych po sprawdzeniu:

  1. Data/okres przeprowadzania sprawdzenia.
  2. Osoby, które przeprowadzały sprawdzenie.
  3. Co i w jaki sposób było sprawdzane (przegląd dokumentów, oględziny, rozmowy z pracownikami).
  4. Podsumowanie sprawdzenia, podjęte lub zalecane środki mające zwiększyć bezpieczeństwo danych.
  5. Podpis osoby prowadzącej sprawdzenie.

Gdy jest ABI: Read More

15 Lut

Sprawozdanie roczne, czy z każdego sprawdzenia

Kolejne pytanie od Pana Daniela:
Mam pytanie odnośnie planu sprawdzeń i późniejszego sprawozdania ABI. Chciałbym przedstwić plan sprawdzeń na okres jednego roku, który zawiera kilka sprawdzeń (polityka+instrkukcja, ewidencje, itp) w związku z tym w zamieszczonym przez Panią wzorze powtarzam cały punkt 1) do każdego sprawdzenia, zaznaczając odpowiednie pozycje?
Sprawozdanie jako ABI sporządzam na koniec wszystkich sprawdzeń (pisząc raporty z każdego sprawdzenia) czy po każdym sprawdzeniu z zachowaniem terminu do 30 dni? Read More

12 Gru

Raport na potrzeby GIODO

Otrzymuję ostatnio sygnały od Was, że „dzwonią różni ludzie, żeby przypomnieć o zrobieniu rocznego sprawozdania dla GIODO„, a Was zalewa zimny pot i zastanawiacie się o co chodzi i co się stanie, jeśli tego się nie zrobi.

Na początku zastanówmy się o jaki raport może chodzić. W ustawie o ochronie danych osobowych jest mowa o sprawozdaniu ze sprawdzenia zgodności z przepisami o ochronie danych osobowych, które przygotowuje się dla administratora danych (36a ust. 2 pkt 1 lit. a). Jednocześnie w ustawie jest wyraźnie wskazane, że sprawozdanie przygotowuje ABI i ten obowiązek nie dotyczy jednostek, które nie powołały ABI (36 b). Read More

08 Cze

Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI

Z dniem 11 maja 2015 roku ukazało się rozporządzenie określające obowiązki zarejestrowanego w GIODO ABI, które wynikają z nowelizacji ustawy o ochronie danych osobowych (obowiązującej od 1 stycznia 2015 roku).

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

 

12 Lut

Jak często powinny być przeprowadzane sprawdzenia?

Pytanie padło od Pana Grzegorza:
Czy sprawdzenie odbywa się na żądanie dyrektora, czy też co pewien okres czasu? 
Czy roczne sprawozdanie jest wymogiem odgórnym (narzuconym przez GIODO) oraz czy każde sprawozdanie roczne musi zostać wysłane o GIODO?
Na chwilę obecną nie wiadomo jaką częstotliwość przeprowadzania sprawdzeń uchwali ustawodawca. W projekcie rozporządzenia MAiC jest mowa o planowanym sprawdzeniu raz do roku oraz dodatkowym sprawdzeniu na zlecenie GIODO lub na skutek zaistnienia incydentu. Pragnę podkreślić, że podobne sprawdzenia w przypadku informacji niejawnych są przeprowadzane raz na 3 lata ze względu na fakt, że taki kompleksowy audyt blokuje pracę instytucji na pewien czas.
Czekamy na ustalenia dotyczące rozporządzenia, z nadzieją, że ustawodawca zrozumie, że potrzebą zmian było ułatwienie a nie utrudnianie wykonywania działalności gospodarczej… Jeżeli sprawdzenie będzie musiało być przeprowadzane raz do roku, to sprawozdanie z tego sprawdzenia będzie przygotowywane również raz do roku (plus dodatkowe na zlecenie GIODO lub po incydentalnym sprawdzeniu).

Read More