GoldenLine
Zaloguj się
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Witam wszystkich,
czytając nową ustawę oraz projekty rozporządzeń zapewne każdy z nas ma wiele pytań. Dlatego pragnę rozpocząć tę dyskusję... Nie chodzi mi teraz o krytykowanie ustawodawców, ale o realne rozwiązanie poniższych problemów:

1) Po co ADO ma wyznaczyć ABI w rozumieniu Administratora Bezpieczeństwa Informacji, który zobligowany jest do regularnej sprawozdawczości do ADO oraz dla GIODO?
-ABI (pracownik) w jaki sposób ma obiektywnie przedstawić sprawozdanie, że coś jest nie tak? Jeśli audytor certyfikujący przekazuje protokół o niezgodnościach i cofnięciu ISO, to kładzie na biurku i ucieka :)
-w jaki sposób ABI z zewnątrz ma obiektywnie przedstawić sprawozdanie, jeśli otrzymuje za to $$ i jak napisze źle to był jego ostatni dzień jako ABI

Czy nie lepiej scedować na określonych pracowników zadania i wszystko prowadzić po staremu?
-prezentacja korzyści z nowej ustawy, w formie braku konieczności rejestrowania zbiorów do GIODO jest chyba nieporozumieniem

2) Wg nowej ustawy i rozporządzenia, ABI ma pełny dostęp do systemów informatycznych oraz baz danych. Ryzyko udzielenia dostępu do wszystkiego jednej osobie jest niewspółmierne do korzyści.

Czy może mi ktoś zaproponować odpowiednią osobę z kadry, w przeciętnym Urzędzie Gminy? Osobę, która będzie miała dostęp zarówno do danych/systemów urzędu stanu cywilnego, danych o osobach uzależnionych oraz do innych działów. Wójt/Sekretarz obawia się takiego dostępu, a co dopiero osoba, której kompetencje oceniane są na podstawie oświadczenia o posiadanej wiedzy o ochronie danych osobowych.

3) Aktualne zmiany dążą do tego, że ABI to Deux ex machina. O ile znam normy międzynarodowe ISO i podstawy zarządzania kłóci się to z podstawową zasadą kontroli procesów. ABI jest odpowiedzialny za opracowywanie, aktualizowanie dokumentacji oraz za kontrolowanie realizacji. Na jakiej podstawie jest to zgodne z normą ISO 27001:2013? Przychodzi mi do głowy konstrukcja składająca się z zastępców by pokazać kontrolę, ale to przecież tworzenie fikcji.
-znam przypadki, że firmy tworzyły kapitał na wypadek kar. Gdyż ekonomicznie taniej było wygospodarować kapitał niż wdrożyć cały proces. Do tego był cały cykl PDCA i natworzone procedury by była podstawa dla audytora do uznania z normą. Czy w przypadku ochrony danych osobowych, Ustawowo będą powstawać podobne kombinacje?

Pozdrawiam,
M.R
__________________________
http://kryptos.co - już wkrótce nowa odsłona
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Jeśli porównać wady i zalety, to nie widzę zbyt wiele korzyści z powołania ABI w nowej formule. Niby jest zwolnienie z rejestracji zbiorów (czyli mniej pracy), ale za to trzeba samemu utrzymywać rejestr tych zbiorów, a nawet go opublikować (na stronach internetowych). Już w tym miejscu wychodzi "na zero".

Co więcej - gdy jest ABI (w rozumieniu nowych przepisów) - trzeba go odpowiednio wybrać (nie może być karany, musi się znać na fachu), umocować (raportuje do kierownictwa), dać budżet i liczyć się z tym, że GIODO będzie mógł z łatwością poprosić o kontrolę (sprawdzenie). ABI ma mieć plan kontroli, a sprawozdania z nich należy przechowywać przez 5 lat. Sprawdzenia i sprawozdania - jak się im przyjrzeć - żywcem kopiuj-wklej z wytycznych dla inspektorów GIODO nt. jak przeprowadzać kontrolę...

No ale może są takie organizacje, w których będzie warto?

PS. Zauważmy, że nawet jak nie powoła się ABI, to całe mnóstwo obowiązków ciąży na administratorze. Może pojawi się na rynku chęć zatrudniania ABI (ktoś musi wykonać tę pracę i pełnić nadzór), ale bez rejestracji w GIODO?
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Do tego zmierzam. Również nie widzę sensu powoływania "formalnego ABI". Może ktoś nas z Leszkiem przekona, że jednak warto?
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Ja spróbuję. Popatrzcie na to szerzej. Nowy ABI jest przygotowaniem pod DPO, który pojawi się za 2/3 lata. Nie uciekniemy od tego. Poza tym mówicie o większej ilości pracy i rozważacie opłacalność przez ten pryzmat. A jednak dla AD ktoś (ABI) kto przedstawia plan audytów (sprawdzeń), prowadzi rejestr zbiorów, zapewnia szkolenia pracownikom, mimo wszystko prowadzi kontrolę na wniosek GIODO - pokazuje i daje gwarancje właściwej i adekwatnej ochrony danych. Jasne, że to samo można robić nie powołując i rejestrując się w GIODO ale taka czynność jest też swego rodzaju zabezpieczeniem ABI przed bezpodstawnym odwołaniem (AD musi to umotywować). No i jeszcze wzrost świadomości oraz "prestiżu" wykonywanej funkcji. Choć oczywiście zgadzam się z tym, że organizacji musi byś świadoma oraz musi w niej obowiązywać pewna "kultura" związana z ochroną danych i informacji.
Link do wypowiedziLink
Kamil Szymborski

Kamil Szymborski

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

"§ 13. W przypadku administratorów danych będących podmiotami publicznymi w
rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne, którzy wprowadzili audyt wewnętrzny w zakresie
bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 tej
ustawy, sprawdzenie oraz nadzór na dokumentacją przetwarzania danych, mogą być
wykonywane w ramach tego audytu, pod warunkiem, że wykonującym jest administrator
bezpieczeństwa informacji."

heh...czyli jeśli ABI nie jest w składzie kazdego zaspołu adytowego to nieważne, że audytorzy sprawdzają punkty normy ISO z zakresu ochrony danych osobowych.....
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Brnąc dalej w projekcie Rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych zapisane jest również:

"§ 12. Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji."

ostatnia część § 12 "pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji." wzbudzi znowu pytania o interpretacje odnośnie, czy wprowadzona norma nadal będzie aktualna, jeżeli MAiC uwzględnia to, że aby przeprowadzić sprawdzenie i nadzór w ramach normy musi być powołany ABI...

Inną sprawą jest sprawa odwołania ABI przez ADO poruszona przez Pana Piotra.
Zabezpieczenie przed odwołaniem jest konsekwencją wprowadzenia sprawdzenia zleconego przez GIODO w firmie/urzędzie/jednostce gdzie ABI jest zatrudniony. Żadna osoba na stanowisku kierowniczym nie jest zadowolona jeżeli w wykazie sprawdzenia jej podmiot zostanie źle oceniony przez pracownika a sprawdzenie to pójdzie do GIODO. W tym momencie ADO swojego niezadowolenia nie może przelać "na papier". Zostaje tylko brak premii i podwyżek. Jednak wierzę w to, że nasi szefowie podejdą do sprawy poważnie i profesjonalnie.

Teraz ABI w firmach mają ułatwione zadanie. Większość firm nie liczyła się z ochroną danych osobowych a ABI był tylko "na pokaz". W tej chwili każdy ABI dostał do ręki potrzebne narzędzia do wykonywania swoich funkcji. Określenie w zadaniach obowiązku sprawdzenia min. raz na rok i max. raz na kwartał sprawdzenia planowego, ale również możliwość przeprowadzania sprawdzeń nieplanowanych (w tym zleconych przez GIODO) pozwoli na większe zaangażowanie ADO w przestrzeganie odo. Zwiększy to poziom "kultury" w firmach.
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Nie zapominajmy o ust. 4 z art. 36a:
Ado może powierzyć ABI wykonywanie innych obowiązków, JEŻELI NIE NARUSZY TO PRAWIDŁOWEGO WYKONYWANIA ZADAŃ...
A więc ABI najpierw ma wykonywać swoje zadania, a dopiero później inne.
Podobna konstrukcja jak z pełnomocnikami ochrony z Uoin.
Z mojego rozeznania na poziomie samorządowym wynika, że ABI w obecnej konstrukcji nie jest mile widziany. Panuje przekonanie, że jego powołanie generuje większe problemy niż jego brak. Do tego zdarzało się, że w małych jednostkach ABI to sekretarz i .....
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Heheheh, potwierdzam ABI w JST to najczęściej sekretarz :)
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

A jak nie sekretarz to informatyk, który ma 'najmniej' do roboty ;)
Link do wypowiedziLink
Paweł Wysocki

Paweł Wysocki Administrator
systemów IT

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Informatyk, który najczęściej jest też ASI (nawiasem GIODO dopuszcza taką sytuację tylko w małych - kilkuosobowych firmach o czym pisał artykuliku opublikowanym w 2003 roku w "IT w Administracji").
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Nie bardzo rozumiem, jak GIODO może dopuszczać? Prawo nic nie mówiło do tej pory o przeszkodach w łączeniu roli ABI z innymi zadaniami. Dzisiaj także na nie zezwala, jeśli ABI jest rejestrowany, a wykonywanie innych zadań nie wpływa na "abi-owanie".
Link do wypowiedziLink
Paweł Wysocki

Paweł Wysocki Administrator
systemów IT

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Faktycznie dopuszcza to za mocne słowo.

"ABI i ASI w jednej osobie - Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych

Podjęcie decyzji dotyczącej powierzenia funkcji ABI (administrator bezpieczeństwa informacji) i ASI administrator systemów informatycznych) jednej osobie należy do administratora danych. Warto jednak mieć świadomość, że powierzenie obu tych funkcji jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją zadań w sferze bezpieczeństwa przetwarzanych danych osobowych. Konsolidacja tych funkcji generuje zagrożenia dla
bezpieczeństwa przetwarzanych danych osobowych dlatego, że w praktyce doprowadza do sytuacji, w której nadzór nad realizacją zadań sprowadza się do kontroli wykonanych przez tę osobę działań.
Jedynie w instytucji zatrudniającej kilka osób, w której nie ma wyspecjalizowanej kadry i środków niezbędnych do rozdzielenia funkcji ABI i ASI, powierzenie obu tych funkcji jednej osobie wydaje się uzasadnione. Jednak wówczas powinno się zastosować dodatkowe środki kontrolne, np. w postaci rejestrowania wszystkich czynności technicznych i administracyjnych wykonywanych przez taką osobę oraz okresowej ich weryfikacji przez administratora danych lub niezależnego audytora."

Zastanawiam się czy ta opinia GIODO nie wskazuje na możliwość niespełnienia warunku ust. 4 z art. 36a?
Dalej czy "wykonywanie innych obowiązków" można podciągnąć pod wypełnianie ich u tego samego pracodawcy w ramach osobnej umowy (osobnej części etatu) czy tylko jako ekstra obowiązki dla ABI?Ten post został edytowany przez Autora dnia 10.01.15 o godzinie 21:16
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Opinia na to nie wskazuje. Jest tu ujęta tylko sytuacja skrajna, gdzie firma posiada np. 10 komputerów i wtedy bez problemu ABI może mieć dodatkowe obowiązki jako ASI a warunek w art. 36a ust 4 będzie spełniony, jeżeli osoba będzie 'ogarnięta'.
Ale jeżeli jednostka ma 50, 100, 500 i więcej sprzętu, to już połączenie tych funkcji sprawi, że jako ABI osoba zatrudniona będzie pracowała 7 na 8 godzin, a jako ASI kolejne 7 w 8 godzinnym trybie pracy.

Poza tym opinia ta została wyrażona przed przyjęciem art. 36a ust. 4, także nie widzę sensu ich zestawiania.
Link do wypowiedziLink
Paweł Wysocki

Paweł Wysocki Administrator
systemów IT

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Panie Pawle GIODO o tym właśnie pisał i my sobie z tego zdajemy sprawę. Niestety niektórzy decydenci wolą udawać, że problemu nie ma.
Drobny przykład: ostatnio usłyszałem od sekretarza że 50 etatowy urząd (od strony IT: 37 stacji roboczych + 7 serwerów) to właśnie w ujęciu cytowanego artykuliku mała firma.
W praktyce na ASI i ABI obowiązki informatyka się nie kończą...
Zmiana przepisów z jednej strony zwiększa ilość roboty ale z drugiej daje też drobną nadzieję na rozwiązanie tego problemu pod warunkiem, że znajdzie się stosowny punkt zaczepienia. Ten post został edytowany przez Autora dnia 11.01.15 o godzinie 10:28
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Myślenie o bezpieczeństwie danych osobowych jedynie w kontekście ilości stacji roboczych jest chyba nie do końca odpowiednie... Weźmy też pod uwagę ilość danych czy rekordów osób które przetwarzamy.
Link do wypowiedziLink
Tomasz Mikołajczyk

Tomasz Mikołajczyk nauczyciel, trener
IT, Software QA
Manager

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

no to moje 3 grosze. W szkołach publicznych normalne jest wyznaczanie ABI metodą 'palcowania' zaraz po tym, jak do dyrektora dotrze, że jest taki obowiązek. Do tej pory był to zazwyczaj nauczyciel informatyki ('bo się zna', dodajmy który często nie jest informatykiem, a ma jedynie roczne studia podyplomowe zrobione na szybko, bo brakło godzin), ewentualnie sekretarka. Jedno jak i drugie często nie miało zielonego pojęcia co i jak, nie dostawało premii czy gratyfikacji finansowej za tą pracę (było to tylko rozszerzenie obowiązków). Sami możecie sobie dopowiedzieć jak wyglądała ODO w takich miejscach.

Obecnie chociaż element 'palcowania' zostaje wyeliminowany, ABI ma być samodzielny a nie łączyć funkcje. I chociaż taki plus w tym upatruję...
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Panie Karolu, był to tylko obrazowy skrót. Ale wiadomo, jak to jest jak 50 Pań XY dzwoni i prosi o pomoc w formatowaniu tekstu ;)

Panie Tomaszu, wątpię żeby łączenie funkcji zostało ostatecznie wyeliminowane ze względu na ograniczone budżety instytucji, a w szczególności szkół i małych firm. ODO leży w małych firmach i instytucjach właśnie ze względu na łączenie funkcji i w razie kontroli GIODO wytłumaczeniem nigdy nie był nawał obowiązków.
W tej chwili jeżeli ABI będzie zbyt obciążony to winę za to będzie ponosił ADO zgodnie z art. 36a ust. 4 UODO.

Z innej beczki, z tego co widzę, to ten ustęp będzie naszą ulubioną zmianą ;)
Link do wypowiedziLink
Paweł Wysocki

Paweł Wysocki Administrator
systemów IT

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Jest to całkiem możliwe :).
A wracając do tematu wątku, czy istnieje przepis, który nakazuje w jednostce samorządu powołanie ABI?
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Paweł W.:
Jest to całkiem możliwe :).
A wracając do tematu wątku, czy istnieje przepis, który nakazuje w jednostce samorządu powołanie ABI?

Panie Pawle, nie ma takiego przepisu.

Dziękuję wszystkim za dyskusję w tym temacie. Z mojej praktyki, 95% moich klientów zdecydowało się na nie wyznaczanie nowego ABI, 5% tak.

Jednak większość wyraziło chęć wprowadzenia nowego ABI w przyszłym roku, gdy już będzie więcej informacji na ten temat + przeszkolą odpowiednią osobę przed powierzeniem jej tego zadania.

Co do szkół/oświaty, nie spotkałem żadnego dyrektora, który wyznaczyłby nowego ABI lub sam pełnił taką funkcję. Taka decyzja jest postrzegana jako akt desperacji i głupoty :)

//co do sprawowania funkcji ABI przez Informatyka, wg mnie najczęściej to zły pomysł. Osoby z wiedzą IT nie nadają się do pilnowania papierów, wystawiania oświadczeń dla nowych pracowników itd. Owszem, GIODO nastawia się głównie na przetwarzanie danych w systemach informatycznych, ale jeśli Informatycy zaczną pilnować zbiorów papierowych to wkrótce w planie rocznym GIODO będzie kontrola zbiorów tradycyjnych :)
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Nowa ustawa - czy jest sens wyznaczać ABI?

Panie Mateuszu.
Myślę, że to nastąpi trochę wcześniej. Po wejściu w życie par. 15 z projektu rozporządzenia MAC w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie .... publikowanej na stronie RCL-u. Oczywiście jeżeli w tym brzmieniu zostanie podpisane.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy ABI jest potrzebny?




Wyślij zaproszenie do
Anuluj