GoldenLine
Zaloguj się
Jerzy Figurski

Jerzy Figurski Działalność
gospodarcza

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Panie Szymonie
O ile dobrze odczytałem Pana doświadczenie pracuje Pan w prywatnej firmie nie ma zatem mowy o informacji publicznej..

Dodatkowo polityka bezpieczeństwa i instrukcja zarządzania w żaden sposób nie mieści się w kategoriach informacji podlegających udostępnieniu (por. art. 6 ust. 1 Ustawy o dostępie do informacji publicznych).

Nie orientuję się w waszej strukturze, ale raczej wątpię czy wasz ADO lub ABI jest funkcjonariuszem publicznym w rozumieniu KK (art. 115 § 13), a tylko dokumenty podpisane przez funkcjonariusza publicznego podlegają udostępnieniu (art. 6 ust. 2 Uodip).

Zatem art. 6 ustawy nie obowiązuje Waszej firmy czyli śmiało można poinformować interesanta, że nie wydajecie decyzji administracyjnych i nie jesteście zobligowani do udostępnienia tych dokumentów.

Niech klient idzie do sądu, zapłaci za wiedzę.

Szymon S.:
Na szczęście nie w mojej firmie, ale w powiązanej... obywatel wystąpił o udostępnienie Polityki Bezpieczeństwa wraz z instrukcjami firmy powołując się na ustawę o dostępie do informacji publicznej. Wszystkie części mojego ciała mówią mi, aby nie udostępniać z uwagi na opis zabezpieczeń systemów oraz procedury postępowania w przypadku różnych zdarzeń. Są podstawy, aby odmówić? Powołać się na bezpieczeństwo danych? Na tajemnicę służbową? Haker, przestępca, szpieg mają dzięki temu pewien dostęp do danych osobowych obywateli? Nie podoba się mi ta cała ustawa o dostępie do informacji publicznej. Jakiś bubel/ Wychodzi na to, że jeśli jestem ABI, który nie potrafi napisać dokumentacji to wystarczy ściągnąć ją z instytucji publicznych?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Może błędnie napisałem firma. Pracuję w Policji. Faktycznie podmioty gospodarcze są z tego wyłączone.

Z tego co w internecie wyszukałem nawet GIODO został w ten sposób bezwstydnie napadnięty ;) Obronił się tym , że jego polityka zawierała po części informacje niejawne, które w zakres dostępu do informacji publicznej nie wchodzą.Ten post został edytowany przez Autora dnia 20.12.15 o godzinie 23:42
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Ups... Mam wrażenie, że idziemy w takim nie najlepszym kierunku. Wyjdzie elaborat - ale sorry...

Szymon, jeśli haker, szpieg etc na podstawie polityki i instrukcji mają dostęp do danych osobowych obywatela, to stawiam tezę ze trzeba wyrzucić ABIego. Ale polećmy po zawartości polityki:
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Ad 1 - co jest tajne? Siedziby, oddziały?
Ad 2 - jw. To nawet powinno być jawne, a systemy - wystarczy prześledzić wyniki przetargów.
Ad 3 - prawo do uzyskania tych informacji mam również gwarantowane na gruncie UODO. Ale patrz pkt 2 plus całkiem jawna specyfikacja systemów (instrukcje obsługi czy administracji)
Ad 4 - jw. Mało tego - również na gruncie UODO mam prawo uzyskać informacje o tym zakresie, bo to jest to co mówi o wykorzystaniu moich danych.
Ad 5 - naprawdę przepisujecie tutaj zabezpieczenia?

Jak rozumiem, chodzi o pkt 5. Ale... poufność informacji o systemie jako gwarant bezpieczeństwa tego systemu jest bardzo złudne. Skuteczność systemu zależy od wielu czynników, a naprawdę poufność konstrukcji jest ostatnim z nich.

Kilka przykładów:
Szafa stalowa, zamek szyfrowy plus klucz. Co z tego, że ktos będzie wiedział, jaki typ został zamontowany i jak została zamontowana sama szafa (np. kotwienie do podłoża, 4 x 13), jeśli do dostępu potrzebny jest klucz i szyfr?

IPS - warunki reakcji systemu po próbie ataku. Fajnie, jak haker będzie wiedział, że IPS zareaguje na przepełnienie, czy zbyt duża ilość pakietów. Ale nadal do zmiany parametrów reakcji potrzebny jest dostęp do konta admina.

System sygnalizacji włamania - co po tym, że atakujący wie, że są czujki dualne, słuczeniowe, a na szafach sejsmiczne? Skoro do rozbrojenia systemu i jego przejścia trzeba hasła - użytkownika, czy admina.

Oczywiście każdy system jest odporny w jakimś czasie. Ale ta wartość "jakiegoś" czasu to jest wartość która stanowi bazową do uruchomienia nadzoru nad skutecznością zabezpieczenia. Dla pracownika ochrony - będzie to czas przyjazdu kontrolnego na obiekt. Dla systemów sygnalizacji włamania - są określone czasy odpytywania czujek przez centralę. Brak zwrotki - to info o sabotażu lub uszkodzeniu. w IPS - logi systemowe i analiza, plus automatycznie ustawione działania.

Do tego jeszcze systemy wczesnego wykrywania ataku. Tu już kombinacje. Dla zabezpieczeń technicznych (zamki, drzwi, okna, szafy) - kontrole przez pracownika ochrony, pracownika firmy (przy otwarciu szafy ocena), dla systemów - logi (admin niech jednak je czyta). Plus całosc okraszona rejestrem incydentów.

I już na koniec, żeby nie było, że sobie wymyślam sam. systemy sygnalizacji włamania mają klasę ryzyka wyznaczaną... na podstawie znajomości systemów ;-) A tak, klasa 4 to taka, w której atakujący doskonale zna systemy alarmowe.

Więc jeszcze raz - co mamy w PBDO i IZSI i czy na pewno to będzie jakiś straszny wyłom w systemie. Bo chronić powinniśmy klucze, kody, hasła... A system bezpieczeństwa tak zaprojektowany, aby nawet dobrze znającemu dał tzw. odpór (to ze starych standardów słówko).

A czemu tak?

A bo nadal jest ryzyko, że atakującym będzie nasz pracownik. Który doskonale zna system i ludzi.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Grzegorz K.:
Szymon, jeśli haker, szpieg etc na podstawie polityki i instrukcji mają dostęp do danych osobowych obywatela, to stawiam tezę ze trzeba wyrzucić ABIego.

W polityce i instrukcji musiałoby być wiele informacji i procedur, które nie są wymagane. Nie zgodzę się jednak z tobą, że polityka i instrukcja nawet dobrze napisana nie ułatwi sprawy cyberprzestępcy. Znajomość systemów, programów, rodzaju sieci (kablowa/wi-fi), model firewalla itp pozwala określić jakie dziury można wykorzystać do włamania. Jednak te informacje można również pozyskać z przetargów i są one ogólnodostępne...

Tyczy się to oczywiście również zabezpieczeń fizycznych jak napisałeś.
Grzegorz K.:
A czemu tak?

A bo nadal jest ryzyko, że atakującym będzie nasz pracownik. Który doskonale zna system i ludzi.

Dopiszę jeszcze, że nie zawsze świadomym atakującym a często jest tylko narzędziem...

Edit:
I jeszcze może trochę w temacie...
Jeżeli nie masz określonej szczegółowej konfiguracji firewalla, kodów dostępu, haseł to możesz udostępnić.

Pomyśl też o stworzeniu polityki i instrukcji w oparciu o załączniki jeżeli nie jesteś pewien co możesz udostępnić. W takim wypadku ogólna odchudzona polityka, instrukcja może być krótkim nie zawierającym szczegółów dokumentem, a jeden czy dwa załączniki możesz zawsze zastrzec. Tylko pytanie jak dużo danych zamierzasz tam umieszczać??? Może warto zamieścić tylko to co jest niezbędne bez bawienia się w dodatkowe informacje, a szczegóły zawrzeć w osobnym, zastrzeżonym dokumencie? Rozwiązanie o wiele lepsze i nie masz problemów...Ten post został edytowany przez Autora dnia 21.12.15 o godzinie 08:57
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

A po co robić jakieś inne?
Od sieci, ich funkcjonowania jest w firmie dział IT
Od bezpieczeństwa fizycznego - kontroli dostępu, systemów sygnalizacji włamania, CCTV jest ochrona fizyczna. Często też owa kontrola jest jeszcze nieco "analogowa" - czyli wydawanie i zdawanie kluczy, szczególne dla pomieszczeń szczególnego nadzoru (nie tylko dane osobowe, też magazyny substancji niebezpiecznych, czy po prostu magazyny).
Od ochrony ppoż jest inspektor/specjalista ppoż. Czyli to co może nam dane zniszczyć, czy uszkodzić.

Dlaczego ja mam to mieć w PBDO - naprawdę nie wiem. Bo:
Wykaz części i elementów sieci - IT. Aplikacje postawione na kompach - IT (również do ochrony prawnej). W więc też oni będą mieli informacje o logicznych zabezpieczeniach. Fizycznie - o routerach i firewallach też, bo to elementy sieci. Konfiguracje - też u nich.

Plano ochrony (czasem w potworkach typu instrukcja ochrony). Tu z kolei organizacja ochrony (zabezpieczenia organizacyjne), a więc formy ochrony fizycznej (stała, bezpośrednia, posterunki doraźne, patrole, patrole doraźne, konwoje etc). Do tego monitorowanie systemów - to tez forma ochrony fizycznej. Dodajmy zabezpieczenie techniczne (to już nieco inny spec ale ta sama ustawa) i mamy zabezpieczenia budowlane (stropy, ściany, przegrody - przy czym trzeba pamiętać o tym, że są jeszcze przeglądy budowlane - z prawa budowlanego) mechaniczne (bramy, furtki, zamki, szafy), elektroniczne - ale w zakresie montażu i konserwacji.

Instrukcja bezpieczeństwa pożarowego - wykaz urządzeń gaśniczych, urządzeń ochrony ppoż, zasad ochrony ppoż (ochrona przeciwpożarowa to też ochrona przed innymi zagrożeniami miejscowymi).

To wszystko w firmie JEST. ABI ma nadzorować te elementy, które dotyczą jego działki, jego pomieszczeń i jego urządzeń na których lub w których są dane osobowe. Jakoś nie widzę PBDO żeby to wszystko zawierała, bo:
ABI nie jest specem od:
PPOŻ (wymagany inspektor lub specjalista)
Ochrony urządzeniami (rzeczoznawca ppoż)
Obiektów budowlanych i budynków (inspektor budowlany, z uprawnieniami)
Ochrony fizycznej (kwalifikowany pracownik ochrony fizycznej)
Zabezpieczenia technicznego (kwalifikowany pracownik zabezpieczenia technciznego)
Ochrony infrastruktury IT (tu nie ma państowowych)

Robię dla kilku firm zintegrowane bezpieczeństwo - czyli informacje (w tym dane osobowe), bezpieczeństwo fizyczne, bezpieczeństwo i ochronę ppoż (w tym też ATEX), a w BHP tylko doradzam (frmy ponad 100 osób). Zwartości poszczególnych dokumentów:
IBP - 80 stron, plus grafiki
Plan ochrony - 60-90 stron plus grafiki
ISO 27 K - o tu grubo. Wszystko razem - 250-300 stron. Ale to dlatego, że BCM robimy na ISO 22301, więc nieco więcej procedur. A CM (zarządzanie kryzysowe) na BS11200.
Dokumentacja powykonawcza budynku plus książka obiektu budowlanego (korzystam od utrzymania ruchu) - około ... set

Łącznie, gdyby chcieć tylko do PBDO dopisać lub przepisać wszystkie szczegóły zabezpieczeń wyjdzie kniga na poziomie ponad 1000 stron (słownie tysiąc stron). Sorry, ale to nie o to chodzi...

Więc PBDO ma być dokumentem, który wskazuje zasady - swoje. A z zabezpieczeń - wskazuje skąd korzysta. I konfiguracje nie są w innych dlatego, bo nam się tak chce, tylko dlatego, że nie jest to obszar działania ABI, a zupełnie innych służb. ;-)

O to walczę od kilku lat - aby zrozumieć, o co biega w tym dość prostym sformułowaniu:
ABI NADZORUJE STOSOWANIE ZABEZPIECZEŃ TECHNICZNYCH I ORGANIZACYJNYCH.

Kurde zrobię warsztat z tego...
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Jak zwykle Grzegorzu myślisz o dużych firmach a nie o Policji gdzie pracuje Szymon. W administracji publicznej jest tak, że ABI musi mieć oczy wszędzie. Dobrego informatyka nie znajdziesz za te stawki, ochroną jest 'Pan Zdzisiek', na ochronę ppoż składa się 1 przeterminowana gaśnica ;)

A tak już serio. Chciałbym, żeby tak było, ale tak czy inaczej z doświadczenia wiem, że ciągle trzeba wszystkim patrzeć na ręce, doradzać jak sporządzić dokumentację.

To, że wiemy jak powinno być z obowiązkami to nie oznacza, że wszędzie tak jest a rozmowa na forum zawsze toczy się na temat "jak zrobić to co szef kazał" ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Ale...

Policja to 100.000 etatów ;-) więc chyba duża jest? ;-)

A całkiem poważnie. Najmniejsza firma, w jakiej zrobiłem tak jak opisałem wyżej - to 80 osób produkcji i około 15 administracji. Więc nawet stówki nie było. Oczywiście było nieco kopaniny, bo nagle okazało się, że nie było komu aktualizować IBP, czy nie było nadzoru nad umową z ochroną fizyczną. Jeden dyrektor za to poleciał.

Także nie zgodzę się z tym, że to dla dużych organizacji. I teraz przykład. w PBDO tejże firmy wpisany jest ZESPÓŁ ochrony danych osobowych, na który składał się:
1. ABI, z zadaniem nadzoru nad realizacją zapisów PBDO i IZSI
2. Spec od BHP i ppoż (w jednej osobie - to nazwa stanowiska) z zadaniem nadzoru nad bezpieczeństwem i ochroną ppoż pomieszczeń.
3. Spec od FM (facility manageemnt - czyli po polsku utrzymanie budynku) -z zadaniem nadzoru nad bezpieczeństwem fizycznym obiektu (on miał umowy) oraz bezpieczeństwem budowlanym (stan budynku, elewacji, dachu i inne).
4, Gość od IT (jeden) - w zakresie utrzymania sieci. Później został ASI, odpowiedzialny za REALIZACJE IZSI.

Oczywiście ani 2 ani 3 ani 4 tego sami nie robili, a po prostu pilnowali stosownych zapisów umów z wykonawcami. A wyniki realizacji tych umów - konserwacji sprzętu ppoż, kwit z przeglądu budowlanego, czy inforamcji o konserwacji czy wymianie elementów infra IT - szły również do ABI-ego. Po drodze jeszcze były osoby, które prowadziły konkret dokumentację - np. kadry upoważnienia (zgodnie z rozporządzeniem w sprawie akt pracowniczych), ale też rejestru udostępnianych danych (bo to oni formalnie to robili), czy wykazu osób upoważnionych.

I tak to sobie hulało i hula do dziś z tego co wiem. Ostatnio tylko pytali, czy zadyma z Safe Harbour ich dotyczy. Ale że wszystko mają w EOG - to nie.

Warunek jest jeden, aby tak zacząć. Spróbować zrozumieć słowo nadzór ;-) A potem odnaleźć kto i za co odpowiada w firmie. A potem już z górki. I problemu z udostępnieniem PBDO nie ma żadnego.

EDIT: Zapomniałem o najważniejszym. ABI w tej firmie to członek zarządu. Ten post został edytowany przez Autora dnia 21.12.15 o godzinie 10:42
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Znając specyfikację zabezpieczeń atakujący może wiele. Nawiąże do sejfu. Wydawaćby się mogło, że sejf to bezpieczne miejsce na trzymanie dokumentów. Teoretycznie ma tyle zabezpieczeń, że nie ma opcji, aby szybko się do niego dostać. Ciężki, zawiasy chronione, zamki elektroniczne i kluczowe itd. Na YouTube jest wiele instruktarzy mówiących o tym, że jesli znamy model i wiemy gdzie uderzyć to dostanie się do sejfu to chwila moment. I teraz mam zamiar zaatakować taki urząd... wiem gdzie jest interesujący mnie zbiór i wiem jak jest zabezpieczony. Potrzeba mi czegoś więcej? Bardzo ważnym elementem w razie włamania jest element zaskoczenia. Atakujący nie wie czego się spodziewać, więc do ataku nie jest w 100% przygotowany, a i czasu musi wiele stracić na wyszukiwanie czujek, alarmów i różnego rodzaju pułapek.

Fakt, że przy poprzedniej aktualizacji bardzo odchudziłem Politykę uznając, że ma być ona głównie dla użytkowników amatorów. Krótko i zwięźle opisując zasady, do których maja się stosować. Informacje o zabezpieczeniach mam, więc może faktycznie powinienem jeszcze ją obciąć lub wrzucić w załączniki technikalia.

btw.
Paweł ma wiele racji w ocenie mojej firmy ;) Na ok 450 osób pracujących i ok 300 urządzeń mam 2 informatyków zapierdzielających za 2.200 brutto. Brak jest jakichkolwiek profesjonalnych szkoleń. Brak jest sprzętu. Nie wspomnę o tym, że wiele stanowisk komputerowych pamięta wczesne lata obecnego wieku. Wykonywane przeze mnie zadania ograniczone są nadrzędnymi wewnętrznymi przepisami, które niezawsze należą do najszczęśliwszych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Szymon, jeszcze raz. System buduje się z ZAŁOŻENIEM, ze atakujący zna zabezpieczenia. Więcej? Ot sejf stawia się w strefie. A tą w innej strefie. I tak mamy (stare szkolenia jeszcze UOP):
Strefa administracyjna - osoby poddane obserwacji (droga podejścia) do strefy II . Czas do 8 minut.
Czas przeniknięcia strefy II - czyli np wejścia do pokoju, chronionego systemem alarmowym, do którego rozbrojenia jest niezbędny kod dostępu - zakładany na około 2 - 3 minuty.
Czas złamania zabezpieczeń strefy I (sejfu) i ... tu się zaczyna zabawa. Bo to sam musisz określić i dać w parametry. Przy czym ta informacja nie musi się znajdować w PBDO. Tam powinno być- "szafa stalowa, dobrana zgodnie z klasą zagrożenia".

Dawny art, na starej normie:
http://grzegorzk.business-security.pl/2008/12/przechow...

I odpowiadając na Twoje pytanie. To TY masz przewidzieć, jakim narzędziem ataku będzie dysponował atakujący. I dobrać urządzenie po ateście (za którym zaszyte są RU - resistance unit). Tak, aby dać skuteczny opór atakującemu na dwa czasy:
czas patrolu (kontroli zabezpieczeń) - patrol - prewencja;
czas interwencji (reakcji na zadziałanie SSW - systemu sygnalizacji włamania).

I uzupełniając system. W ramach systemu kontroli dostępu tworzysz np. konieczność asysty. Również zakaz wnoszenia większych pakunków, bo może wnieść np. urządzenie z własnym zasilaniem. Etc, etc. przy czym systemy te nie muszą być na dane osobowe (jak zwykle) - ale mogą być z zupełnie innych powodów wdrożone. Np. bezpieczeństwa fizycznego, zabezpieczenia antyterror etc.

Reasumując. Jak wcześniej pisałem - głównie w arcie na blogu. Żadne zabezpieczenie nie jest samodzielne. Jest kombinacją techniki, organizacji i zdrowego rozsądku. A po zestawieniu zabezpieczeń - warto przeciągnąć to jeszcze ETA - event tree analisys, czyli analiza drzewa zdarzeń.
Wyjdzie nawet z poziomem prawdopodobieństwa.

PS Filmiki z Yotube warto oglądać z dystansem. Badania na zgodność z normą odporności urządzenia czy elementu zabezpieczenia jest jawne bo normy są jawne. I np. dawne normy mówiły o odporności szyby na 50 uderzeń siekierą w szybę. Wykonywane za pomocą siekiery o określonych parametrach, umiejscowionej na stojanie. Powyżej 50 uderzeń - to już dobra klasa. Nawet jeśli gościowi atakującemu powiesz, że szyba puści w 51 uderzeniu siekierą, to coś po drodze powinno być. Np. czujka stłuczeniowa, która działa na dwie częstotliwości - niski ton (uderzenie) i wysoki ton (pęknięcie szyby). Po drodze patrol, który powinien być zestawiony czasowo tak, aby usłyszeć atak siekierą. Jeśli daleko, albo nie ma szans - strefa podejścia na czujkach PIR (passive infra red), z optyką korytarzową (skupiona wiązka). Albo lepiej - z czujką dualną - PIR (widmo) z mikrofalą. Różne czujki sa stosowane, generalnie trudna do przełamania. A dokładniej - czas przełamania powyżej 30 minut i tu już patrol.

Koszt zabezpieczenia jak wyżej - nie przekracza 2000 pln, przy czym na standardowej centrali masz do 64 linii, więc adresowalnie możesz zrobić do 64 pomieszczeń, w których chronić będziesz dane osobowe, majątek, etc. Przed pożarem, włamaniem i co sobie wymyślisz. ;-) A więc nie tylko z budżetu ODO. Niech się dorzuci też magazynier, zbrojmistrz i szef.

PS 2 Sorry - 63 linie. Jedną zostawiasz na sabotaż. Otwarcie linii, czy jej przecięcie (odłączenie elementu systemu).

nadal podtrzymuję. Zróbmy warsztat.

EDIT: Szkolenia UOP, nie ABW. Sorry, już poprawiłem. Ten post został edytowany przez Autora dnia 21.12.15 o godzinie 21:54
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

2 000 PLN? Grzegorzu, zapomniałeś dodać, że żeby system był skuteczny trzeba tą kwotę pomnożyć kilkanaście-kilkadziesiąt razy w zależności od wielkości budynku... Do tego koszt umowy monitorowania. Jeżeli całość zamknie się w 20 000 PLN w pierwszym roku to będzie sukces ;)

@Szymonie Co się natomiast tyczy czujek i kamer... Instytucje publiczne są dostępne dla interesantów także nie jest problemem określenie ich pozycji. Przychodzisz, pokręcisz się i wychodzisz z gotowym planem.

Rozwiązaniem jest podział na strefy, jak napisał Grzegorz. Masz taki obowiązek w przypadku posiadania informacji niejawnych o klauzuli "poufne" lub wyższej. Możesz przestudiować Rozporządzenie RM w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych. Tam masz wymienione kryteria i kilka innych ciekawych przydatnych rzeczy.

PS. Sorry, że nie cytuję, ale coś mi przycisk w kom nie łapie.

PS. 2. Jeszcze tematu spotkania ABI nie zakończyłeś, a już chcesz warsztat organizować ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Paweł, możemy i za 200.000. Tyle, że tu mówiliśmy o małej firemce, nie o wielkiej organizacji. 20 k na włamaniówkę, to sorry, ale naprawdę rozbudowany system, z kwartalną konserwacją, podwójnym torem transmisji etc. etc.

Taki prosty zestaw na 10 liniach z PIRami. Niecałe 2 k. (nie znam ich, z netu pierwsze z brzegu)
http://www.alarm1.eu/alarm_satel_integra64.html - to na Integrze Satela, ale też w tym samym sklepie - na DSC (AAT&T)
http://www.alarm1.eu/alarmy_dsc.html

Oczywiście jeszcze montaż. Do tego monitorowanie - od 50 pln, tylko ogarnąć trzeba nadajnik (150-200 za podpięcie). No i hulaj dusza. ;-)

Spokojnie na tym zrobisz nawet strefy. z pokojem np. kadrowej. Pod tą linię co PIR, kontaktrony na okna i na drzwi i naprawdę system prosty, ale jednocześnie ciężki do przejścia zwykłymi narzędziami ataku. Poza tym na komisariacie, czy na komendzie jest dyżurny, który zgodnie z zarządzeniami KGP - jest wodzem jak nie ma komendanta. Więc do jego stanowiska sygnalizator podciągnąć i już.

Tylko... że nie o tym mowa ;-)

Mowa o tym, że to nie ABI i nie SZYMON ma się tym zająć. Tylko osoby w jednostce, które odpowiadają za bezpieczeństwo fizyczne. Niejawne mają na 100% więc mogą sobie uzupełnić i np. w PBDO zrobić myk, i napisać, że w zakresie bezpieczeństwa fizycznego (ochrony) dane osobowe sa chronione systemem opracowanym i wdrożonym dla niejawnych. I zachodzi przesłanka do odmowy udostępnienia kolejnych kwitów (plan jest z reguły co najmniej zastrzeżony).

Podobnie w zakresie ochrony ppoż - trzeba za twarz gościa, co robi IBP. I kulturalnie odpytać o zagrożenia, o sposoby gaszenia, a z wcześniejszych kwitów - scenariusze rozwoju pożaru.

To jest pewna wiedza, którą moim zdaniem ABI musi posiadać. Nie musi znać się na klasie zamka, na klasie rozpoznania w kontroli dostępu, na matrycach w kamerach, klasach systemów alarmowych, torów transmisji etc. Ale musi wiedzieć czego żądać i jak żądać. Bo NADZORUJE.

Oczywiście dobrze by było, aby przynajmniej podstawowe normy rozumiał i kojarzył. Bo wtedy łatwiej się zamawia. Ale znów - czy to naprawdę ABI ma zamawiać? Bo chyba raczej dostać kwit zamówienia, z wyjaśnieniem dlaczego tak. A wszystko sprowadza się do ... analizy ryzyka ;-)
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Może rzeczywiście przesadziłem z tymi kosztami, ale jak dla mnie ochrona jest pełna wtedy, gdy połączysz ją z monitoringiem wizyjnym. Warto mieć też sprzęt zintegrowany, do którego możesz podpiąć czujniki dymu i zraszacze... ale tu już mówię o kompleksowym systemie

Wracając do tematu(?)

Zapędzasz się Grzegorzu i jeszcze ktoś wywnioskuje, że ABI powinien specyfikacje do przetargu robić, a to już przekroczy ramy nadzoru ;)

Oczywiście się zgadzam z tym, że nie on powinien się tym zająć. Tylko zastanawiam się gdzie jest granica zaufania do osób tworzących dokumentację. Pamiętaj też, że ryzykowne jest polecenie przygotowania dokumentacji osobom, które mają ograniczoną wiedzę...

I tu wracamy do nadzoru i wykonania dokumentacji. W większości przypadków ABI bierze udział w wykonywaniu dokumentacji (o ile sam jej nie tworzy). Jak w takim razie wygląda tutaj zadanie nadzoru? Jest to już wykonanie? A może aktualizacja? Od jakiego momentu nadzór zamienia się w wykonanie? Ot takie pytania do przemyśleń ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Tam gdzie integracja potrzeba są stosowne aplikacje i można spinać wszystko ze wszystkim. I wchodzimy wtedy w zintegrowany system zarządzania systemami, który nadal bez stosownych procedur nie będzie grał. A bez wykonawców - już w ogóle.

Co do specyfikacji, czy w ogóle roboty ABIego. Jeśli nadzór - to siłą rzeczy musi oddać wykonanie. Podobnie jak np bycie pracodawcą. Ale poruszyłeś bardzo ciekawy wątek, który moim zdaniem leży u podstaw skrzywienia całości ochrony danych osobowych w firmie - niemalże od początku. To taka przypadłość, w której ABI sam dłubie. bo... no i tu nie wiem właśnie dlaczego.

Upoważnienie do przetwarzania danych jest takim samym kwitem na wykorzystanie "zasobów" firmy, jak "wkładka" do prowadzenia pojazdów. Czy sprzęt wydany na stan. Tylko w wielu miejscach rejestr i kopie upoważnień trzyma.. ABI. Zamiast kadr. (vide rozporządzenie w sprawie prowadzenia dokumentacji personalnej).
Podobnie z rejestrami udostępnień danych np. na potrzeby postępowań (mandaty, sądy, komornik). To też kwity w kadrach, ale często spotykam się z tym, że to ABI chce i żąda prowadzenia takiego rejestru osobiście.
Mogę tak po wielu obszarach funkcjonowania ABI-iego przejść, w których realizacja zadań jest dla mnie co najmniej niezrozumiała. I cały czas zastanawiam się, skąd się bierze ta "zachłanność" na robotę. Wyciąganie zadań które spokojnie mogą prowadzić (a nawet powinny zgodnie z regulaminem) komórki organizacyjne - kadry, sekretariaty, działy IT - do działań samodzielnych ABI i potem próba pogodzenia tego z nadzorem, który już jest niemożliwy.

I tego po prosty nie potrafię zrozumieć. Choc może nieco tak. Podobnie jak w pewnym momencie każda kontrola stawała się audytem, bo tak się lepiej sprzedaje, tak samo robota na poziomie SPECJALISTY od bezpieczeństwa informacji, ze specjalizacją - OCHRONA DANYCH OSOBOWYCH (opracowanie dokumentacji i wdrożenie), zaczęły być sprzedawane jako usługa ABI. Co sorry, ale jest bzdurą do sześcianu.

Zobacz analogia. ISO 27001. System opracowuje zespół konsultantów i wcale nie nazywa się ta usługa PEŁNOMOCNIK ISO 27K, tylko usługa konsultingowa w zakresie opracowania i wdrożenia SZBI zgodnego z ISO 27k.

Także sorry, ale branża sama sobie winna, że ABI jest postrzegany jako specjalista. W tym postrzeganiu "pomogła" też nowela ustawy, która włączyła elementy wykonawcze (np obsługa incydentu, czy prowadzenie rejestru zbiorów u ADO).

Co do specyfikacji. Wymagania w zakresie np ochrony fizycznej osób i mienia mówią o tym, że przy tworzeniu planu ochrony powinny być brane pod uwagę tajemnice prawnie chronione. W tym również dane osobowe. Wymagania do specyfikacji zabezpieczenia danego pomieszczenia powinny być przekazane kwalifikowanemu pracownikowi ochrony, który ujmie te pomieszczenia jako pomieszczenia spec nadzoru. Idąc dalej - procedura postępowania w przypadku podejrzenia naruszenia ochrony danych osobowych to procedura z ODO, ale zadania pracowników ochrony są nieco bardziej szczegółowe w tym zakresie. Zgodnie z Metodyką KGP - jesli takie zadania są wpisane w PBDO (np załącznik w postaci instrukcji postępowania) to te zadania powinny być przepisane do zadań ochrony fizycznej.

Czyli jak widać na przykładzie powyżej - współpraca w obie strony. Ale nadal - po stronie ABI - czyli nadzorującego właściwe zabezpieczenie danych osobowych pozostaje wskazanie pomieszczeń i klasy danych osobowych (w tym zagrożeń a może nawet i ryzyka). Wiadomo - dużo ostrzej tam gdzie są dane wrażliwe, nieco słabiej - tam gdzie są zwykłe.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Dlaczego ABI robi więcej niż tylko nadzór? Moim zdaniem są dwa powody...

1. Mam wrażenie, że osobiście zrobię to dokładniej, ponieważ często mam wrażenie, że poza mną i może 5-ma osobami nikt jakimkolwiek bezpieczeństwem się nie przejmuje.

2. Przy obecnym szefie nie mam takiego problemu, ponieważ przywiązuje on bardzo dużą wagę do bezpieczeństwa... ale wiem, że w innych firmach ABI uważany jest za osobę, która niewiele robi, a na dodatek "przeszkadza" w normalnej pracy. Dlatego też szefowie dokładają ABI-emu obowiązków.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Szymon - ad 1. Błąd w założeniu. Sorry, że tak sobie pozwalam, ale wydaje mi się, że 20 lat w bezpieczeństwie (a ze strażą pożarną - 22, prawie 23) w tym 15 (16-ty) w bezpieczeństwie informacji daje mi pewne ... może nie prawa, ale możliwość ;-)

Otóż, kim jest ABI już dyskutowaliśmy. A teraz wyobraźmy sobie strukturę takiej fabryki. Jest szef produkcji. Zarządza produkcją, nadzoruje ją.

naprawdę uważasz, że ma ustawiać maszyny? Ze ma z gościem od CADa dyskutować nad rysunkiem detalu? Albo może nad tym, skąd surowiec wziąć? Pokmtem motywować pracowników, nadzorować osobiście plany produkcyjne, zarządzanie magazynem, wprowadzanie systemów TPM i masę, masę innych?

Podobnie ABI. Nie jest od wykonania. I nie jest to takie czcze gadanie. Bo... ile czasu ABI jest w robocie? 8 godzin dziennie/40 na tydzień. A ile czasu są przetwarzane dane osobowe? Przypadkiem nie 24 h na dobę i 168 na tydzień? Co w takim razie dzieje się jak nie ma ABIEGO?

Za bezpieczeństwo informacji odpowiadają ludzie. WSZYSCY. Po to mają szkolenia, po to mają oświadczenia, po to mają procedury. Elementy tzw. systemowe - wykonują osoby nazwijmy to funkcyjne. Prowadzą rejestry, upoważnienia, korespondencję.

Jeśli ABI zacznie robić te rzeczy co funkcyjni i przetwarzający, zabraknie mu fizycznie czasu na nadzór.

Sorry, ale tak jak z dyrektorem fabryki. I wierz mi, praktycznie każdy młody dyrektor fabryki uważa, że zrobi lepiej. Każdy początkujący ABI też. Aż do momentu, jak ktoś pokaże mu, że jednak potrafi lepiej, inaczej i co ciekawe - często skuteczniej.

AD 2 - świadomość bezpieczeństwa. Czyli coś na czym ABI powinien pracować. Właśnie byłby praocwał, gdyby nie był zajęty.. aktualizacją kwitów, wydawaniem upoważnień, sprawdzaniem biurek i ekranów etc, etc, etc ;-)
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

Zgadzam się ze stwierdzeniem, że ABI ma nadzorować te wszystkie procesy i w tę stronę chciałbym iść. Ale rzeczywistość w większości instytucji publicznych bardzo to utrudnia ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ochrona danych osobowych, a dostęp do informacji publicznej

jest parę takich górnolotnych tekstów:
Sky is the limit
jak sobie pościelesz
Itd.

Ja jestem w stanie dać wsparcie ABI oraz specjalistom. Wykreować ścieżki rozwoju etc. Tak aby ABI był ABI, a specjalista od ODO - specjalistą.

Tylko to środowisko musi chcieć.

Narzędzi sporo. Konferencje, portale, wydawnictwa. Tylko nie może byc po polsku - to weźmy się i ZRÓBCIE. Sorry, na to czasu nie mam... ;-)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Ochrona danych osobowych a ...




Wyślij zaproszenie do
Anuluj