Temat: Kontrola zarządcza a zagrożenia dla danych osobowych
My standardowo robimy operacyjne - czyli z działalności. Przyznaję bez bicia, że obiecałem wystąpienie Jarkowi na spotkaniu internetowym, ale się wycofałem z braku czasu.
Jako, że podobnie będzie pół roku najbliższe wyglądać, a godzina i dzień wyjątkowo mi nie pasują, bo to "biznesowy środek tygodnia" (od wtorku do czwartku), to tak sobie myślę pociągnąć.
Zarys tego co maiło być na wystąpieniu, czyli kilka rozważań.
Chronimy dane osobowe na:
zabór (sankcja karna)
zniszczenie (sankcja karna)
BCM (ciągłość działania na razie odpuszczę).
Dla zaboru - czegokolwiek, to jest system bezpieczeństwa fizycznego, czyli ochrona realizowana przez koncesjonowane podmioty zajmujące się ochroną osób i mienia. Komenda Główna Policji, wydaje takie coś, co się nazywa Metodyką uzgadniania planów ochrony, obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie. Jednym z chronionych zasobów są informacje prawnie chronione - a więc również dane osobowe. Niestety mało który plan zawiera szczegóły na ten temat, a już dane osobowe tam odnaleźć - to jak kwitnącą paproć znaleźć.
Natomiast co ciekawe - system ochrony fizycznej i zabezpieczenia technicznego - to ten system, który jest wymagany w opisie we wniosku rejestracyjnym... Ciekawostka, bo ABI często się boryka z wyborem szaf, kaset, zamków, drzwi, systemów sygnalizacji włamania, telewizji przemysłowej, a ma pod bokiem speca od tego. Gdzieś w grupie już wrzuciłem podstawowy zestaw norm.
Niemniej, jaka rola analizy zagrożeń w tym wszystkim. Czy dokładniej - szacowania i oceny ryzyka.
Na wstępie moim zdaniem powinna być ocena prawdopodobieństwa nieuprawnionego wejścia na teren obiektu (dostęp do obszaru przetwarzania przez osobę nieuprawnioną). Jak jest, to trzeba postawić system kontroli dostępu - niezależnie od chronionych dóbr (nie tylko informacje).
Do tego, jeśli nadal ryzyko będzie na tyle duże, że przekracza akceptowalne, wtedy warto by przygotować system złożony z pracowników ochrony i zabezpieczenia technicznego. Działać to powinno w ten sposób, że jak zabezpieczenie techniczne daje opór np 60 minut przy działaniu narzędziem prostym (szczegóły w normie branżowej i pojęcia jednostki oporowej), to w ciągu tych 60 minut powinien się pojawić patrol. W sumie w ciągu 45 minut, bo to gwarantuje "utrzymanie" drzwi, zamka, przegrody, które bronią (pasywnie) dostępu do pomieszczeń w których są dane osobowe. Oczywiście mówimy o strefie zewnętrznej, czy strefie II, bo strefa I chronionych zasobów, to szafa, która tez posiada swoje opory. A na zewnątrz, obrysem płotu, czy ścian obiektu - strefa III, czasem zwana administracyjną. Zależy czy ABW to wymyśliło, czy MON.
Tyle mniej więcej mówią zasady i standardy w ochronie fizycznej osób i mienia, niestety, wymuszenie stosowania zapisów Metodyki KGP jest możliwe tylko w obiektach obowiązkowej ochrony, gdzie plan podlega uzgodnieniu. Reszta to "plaża", niemniej warto chyba wiedzieć, że takie obszary ochrony fizycznej istnieją i można je wykorzystać.
Drugie zagrożenie - to zniszczenie danych - wszak ADO zobowiązany jest do zabezpieczenia przed zniszczeniem. Zagrożenia tzw miejscowe, to już domena strażaków. I tu może nam z pomocą przyjść instrukcja bezpieczeństwa pożarowego, która jest obowiązkowa. I tam znajdziemy ważne informacje, czyli charakterystyka procesu technologicznego (podobnie jak w przypadku fizycznej - rozdział I). I co najważniejsze, są zagrożenia pożarowe, zagrożenia wybuchem.
Po polsku - jak się zakłada spali, czy wyleci w powietrze, również zostaną zniszczone dane na serwerach, czy tradycyjne. I tu jest całkiem fajna sprawa, bo w bezpieczeństwie pożarowym stosuje się tzw strefy pożarowe. W skrócie - między strefami są odgrodzenia ppoż, które mają za zadanie "utrzymać" się określony czas.
I tu analogia do systemu zabezpieczenia technicznego w fizycznej. Tam zabezpieczenie techniczne "utrzymuje" przed wtargnięciem do czasu patrolu lub przybycia grupy interwencyjnej, tak w pożarówce, utrzymuje do czasu przybycia jednostek ratowniczo-gasniczych.
To tak w zarysie...
Jarku, Leszku, jak chcecie wykorzystać jako materiał, to w zamian za nieprzygotowanie na spotkanie ABI, można to jako artykuł. Tylko prosiłbym o autoryzację.