GoldenLine
Zaloguj się
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Polityki i instrukcje w organizacji?

Witam,

Obecnie w mojej firmie przegotowuję politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi zgodnie z ustawą o ochronie danych osobowych. Natomiast firma zewnętrzna konsultingowa przygotowuje politykę bezpieczeństwa informacji zgodnie z normą ISO/IEC 27001;2007.

Moje pytania:
1) Jeżeli w mojej firmie istnieje kilka systemów przetwarzających dane osobowe, to czy do każdego systemu muszę tworzyć oddzielnie instrukcje zarządzania systemami informatycznymi? Czy jedna ogólna wystarczy?

2) Czy politykę bezpieczeństwa informacji - dokument jednostronicowy (ISO) i politykę bezpieczeństwa - dokument rozbudowany (UODO) można zawrzeć w jednym dokumencie, czy należy tworzyć dwa oddzielne dokumenty. Jeden odnoszący się do ustawy a drugi do normy ISO?

Pytania zadaję z premedytacją gdyż uważam, że jest to problem powstający na etapie wdrażania dobrych praktyk w firmie dotyczących bezpieczeństwa.

Pozdrawiam
Michał
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ja wychodzę z założenie, że nie ma co sobie utrudniać życia tworząc kilka dokumentów na ten sam temat. W przypadku instrukcji zarządzania systemem informatycznym uważam, że wystarczy jeden dokument określający wymagania dla wszystkich systemów. Procedury powinny być takie same - wtedy jest je łatwiej stosować.

Co do polityki bezpieczeństwa też poszedłbym w kierunku jednego dokumentu. Przecież nigdzie nie napisano że nie można ich łączyć. A każda norma ISO nawiązuje do przestrzegania uwarunkować prawnych istniejących w kraju w jakim działa dana organizacja. Poza tym wymagania w stosunku do polityki zawarte w normie i w ustawie nie stoją w sprzeczności do siebie.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ad 1- nie do końca się zgodzę. Co jak systemy się diametralnie różnią?

Ad 2 - też się nie zgodzę. z ISO wynika tez zasada że do konkretnych danych powinny mieć dostęp określone osoby. Nie bardzo widzę sens dopuszczania do pełnej polityki, zawierającej również np tajemnice przedsiębiorstwa - kontrolerów z GIODO. Dostęp tylko w zakresie niezbędnym.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ad. 1
Z wypowiedzi Michała wynika, iż systemy nie są diametralnie różne skoro zastanawia się nad stworzeniem jednego dokumentu. Poza tym należy pomyśleć w jakim zakresie są równe. Takie kwestie jak sposób nadawania/odbierania uprawnień, zasady tworzenia kopii bezpieczeństwa, sposób zabezpieczenia przed oprogramowaniem złośliwym czy choćby zasady stosowania haseł mogą bez problemu być tak samo uregulowane dla wszystkich systemów. W kwestiach, które naprawdę są indywidualne dla każdego systemu można zastosować pewne wariant w zależności od systemu.

Ad. 2
Nie widzę potrzeby udostępniania pełnej dokumentacji osobom z GIODO. Jednak w przypadku polityki bezpieczeństwa wymaganej przez normę - polityka taka nie zawiera zbyt szczegółowych informacji i nie rozszerzy zbytnio zakresu polityki określonej w rozporządzeniu ministra. Gdyby jednak tak się stało zawsze można pokazać kontrolerowi tylko tą cześć dokumentu jaka jest wymagana przez rozporządzenie. Zadaniem kontrolera jest sprawdzić czy przestrzegamy przepisów, a ni czy mamy coś ponadto.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ad 1 nie wynika też że są podobne. Zadał pytanie, a info szczegółowego nie było. A jako że ja przyjmuję zawsze gorszy wariant, pozostanę przy swoim.

Ad 2 Jak przyjdzie pan z GIODO i powie politykę bezpieczeństwa poproszę, to będziemy ryć w kwitach, żeby mu pokazać albo nie? Albo powiemy, pokażemy panu kawałek?

Zdecydowanie jestem za modułową konstrukcją bezpeiczeństw3a informacji. Prościej zarządzać uprawnieniami choćby. Ale tez i wszystkim co dookoła.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ad. 1
Ja przyjmuję, że skoro ktoś pyta czy można wprowadzić jeden dokument to znaczy że są do tego podstawy. Oczywiście tez zostanę przy swoim. Ale tak naprawdę tu musi się wypowiedzieć Michał, co do tego jak jest w rzeczywistości. I wtedy dokończymy naszą dyskusję.

Ad. 2
Ja bym tu uwzględnił prawdopodobieństwo tego, że pojawi się pan z GIODO. Sytuacja taka jest tak naprawdę mało prawdopodobna. Jeżeli już uważamy, że jednak może dojść do takiej sytuacji możemy zawczasu przygotować sobie taką okrojoną wersję. Wersja taka nie koniecznie musi służyć tylko na wypadek kontroli GIODO, ale może być pokazywana w razie potrzeby kontrahentom lub podwykonawcom (owy wiście tylko gdy zaistnieje taka potrzeba).
Tu utrzymam swoje zdanie, iż lepiej mieć jeden dokument.

Jednak tu konieczna jest już wypowiedz Michała podająca specyfikę jego organizacji i wyjaśniająca, który z reprezentowanych poglądów bardziej przypada mu do gustu i bardziej pasuje do charakterystyki jego organizacji.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Ad. 2
Ja bym tu uwzględnił prawdopodobieństwo tego, że pojawi się pan z GIODO. Sytuacja taka jest tak naprawdę mało prawdopodobna.

Sama z siebie tak. A na ile prawdopodobna skarga?
Jeżeli już uważamy, że jednak może dojść do takiej sytuacji możemy zawczasu przygotować sobie taką okrojoną wersję. Wersja taka nie koniecznie musi służyć tylko na wypadek kontroli GIODO, ale może być pokazywana w razie potrzeby kontrahentom lub podwykonawcom (owy wiście tylko gdy zaistnieje taka potrzeba).
Tu utrzymam swoje zdanie, iż lepiej mieć jeden dokument.

Mówię o konstrukcji modułowej bezpieczeństwa informacji, a nie o tym, że ma być ileś dokumentów.

I będę tego się trzymał. Z tej samej zasady jak GIODO nie ma potrzeby zaglądać w całość i zasady regulujące ochronę innych zasobów informacyjnych i innych tajemnic, danych i informacji, tak samo pracownicy tez tego mieć nie muszą.

Jeden wielki dokument regulujący wszystko przypomina mi dość długie raporty o wszystkim i niczym.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Fajnie jest czytac rozmowy anonimowych ludzi :)
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

No co ty????

;-))))

Ja taki anonimowy jak i ty ;-)))
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Polityki i instrukcje w organizacji?

Witam Panów,

Po pierwsze to cieszy mnie fakt, że nie tylko ja mam z tym tematem problem. Podobnie jak Panowie analizowałem to zagadnienie.

A co do szczegółów: to systemów jest kilkanaście, natomiast wszystkie mają podobną strukturę i pracują na kliku bazach danych. Niektóre systemy mają po klika modułów - i tutaj należy postawić pytanie czy każdy moduł traktować jako oddzielny systemem i tworzyć do niego instrukcję? Raczej obstawał bym przy napisaniu jednej instrukcji odnoszącej się do wszystkich systemów. Ale regulacji prawnej w tym zakresie nie znalazłem.

Teraz polityka bezpieczeństwa. W polityce są dokumenty jawne i poufne. Więc jeżeli Kontroler z GIODO, zażyczy sobie politykę bezpieczeństwa otrzyma dokument bez załączników poufnych. Gdyż przyjąłem model polityki z częścią stałą i załącznikami (jawne i poufne).Co o tym myślicie?

I jeszcze jedno pytanie do Grzegorza K. możesz rozwinąć kwestię "modułowej konstrukcji bezpieczeństwa informacji"?

Pozdrawiam
Michał
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Zbliżona konstrukcją do TISM by ENSI. Generalnie chodzi o to, że dokument podobny do polityki bezpieczeństwa według ISO 27001 jest w randze najwyższej i obejmuje ogólną zasadę odnoszącą się do wszystkiego.

A poniżej dokumentacja niższego rzędu, która jest już szczegółowa dla zakresów danych - w tym polityka bezpieczeństwa tworzona na podstawie ustawy ODO. Ale nazwa "polityka bezpieczeństwa danych osobowych" nadal obowiązuje. GIODO jak wpada dostaje właśnie ten dokument. Podobnie niejawne.

Tak samo zespół ds ochrony info niejawnych. ABI od UODO jest członkiem całego zespołu, odpowiada za swoje, ale pracuje na rzecz całości. Tak samo technolog od danych technologicznych, pełnomocnik od niejawnych itp

Oczywiście przy utrzymaniu zasady podległości z ustawy. Ale od razu jest to zespół który pracuje na rzecz bezpieczeństwa firmy i według mojej koncepcji współpracuje z innymi zespołami. Między innymi zespołem ds bezpieczeństwa fizycznego, który dostarcza rozwiązań spełniających wymogi ustawowe, normatywne i inne, ale w ramach całościowego systemu bezpieczeństwa firmy.

Bo ten fizyczny bezpiecznik ma "na pokładzie" nie tylko informacje.

Ogólnie wielka macierz która jest podstawą do całej reszty, czyli zaplanowania całego systemu bezpieczeństwa, w której ABI jest jednym z elementów, wraz ze swoimi zadaniami i narzędziami. Korzysta z rozwiązań dostarczanych przez inne "moduły" jak również jest też dostarczycielem takich usług.

Trudno tak w dwóch zdaniach.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Michał K.:
Teraz polityka bezpieczeństwa. W polityce są dokumenty jawne i poufne. Więc jeżeli Kontroler z GIODO, zażyczy sobie politykę bezpieczeństwa otrzyma dokument bez załączników poufnych.

Jeśli to jest na podstawie info niejawnych - to możesz zażądać poświadczenia przed dopuszczeniem. Natomiast żadna regulacja wewnętrzna nie ma prawa stanąć wyżej niż ustawa - a ta daje zakres uprawnień GIODO.

Więc nie radzę. Bo możne zakrawać na utrudnianie wykonania obowiązków służbowych organowi. A na to paragrafy są.
Link do wypowiedziLink
Piotr Sojka

Piotr Sojka Inspektor Ochrony
Danych

Temat: Polityki i instrukcje w organizacji?

Witam Państwa Serdecznie!

Jeśli można dwa zdania na temat Polityki bezpieczeństwa. Z zasady jest to dokument jawny i bardzo ogólny. O wiele większym poziomem szczegółowości powinna się charakteryzować Instrukcja.

Polityka, którą ja wprowadziłem w firmie opisuje zasady bez szczegółów technicznych. Czyli co wolno a czego nie wolno, kto jest za co odpowiedzialny itd. Polityka dotyczy całego systemu. Natomiast szczegóły opisuje w metrykach zbiorów danych, które są osobnym dokumentem.

Ta koncepcja została dwukrotnie sprawdzona na przez kontrole GIODO w których występowałem jako ABI oraz w kilku instytucjach, które korzystały z tego wzorca.

Pozdrawiam
Peterix
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

§ 4. Polityka bezpieczeństwa, o której mowa w § 3
ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane
są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania
tych danych;
3) opis struktury zbiorów danych wskazujàcy zawartoÊç
poszczególnych pól informacyjnych i powiązania
między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi
systemami;
5) określenie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności
i rozliczalności przetwarzanych danych.
Link do wypowiedziLink
Piotr Sojka

Piotr Sojka Inspektor Ochrony
Danych

Temat: Polityki i instrukcje w organizacji?

Zgoda. Zwracam uwagę na zwrot "w szczególności" Natomiast nalezy pamiętac że Polityka jest dokumentem jawnym, podlegającym ustawie o dostępie do informacji publicznej, a to oznacza,że trzeba ją tak skonstuowac żeby spełniając wymagania prawne nie ujawniać informacji mogących narazić bezpieczeństwo danych. W tym cała sztuka.

Politykę musi Pan udostępnić np.: firmie przetwarzającej dane dla Pana i co wtedy?

Prosze również pamiętac że Polityka Bezpieczeństwa dotyczy wszystkich danych nie tylko przetwarzanych w systemach elektronicznych.Peter Peterix edytował(a) ten post dnia 24.10.08 o godzinie 13:56
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Polityki i instrukcje w organizacji?

A dlaczego niby polityka bezpieczeństwa (w rozumieniu uodo) miałaby być udostępniana każdemu? Zdecydowanie nie, w każdym razie na pewno nie w całości. Zawsze obowiązywała interpretacja, że jej ujawnienie osobom nieupoważnionym, może stanowić naruszenie bezpieczeństwa. W razie wątpliwości proszę spojrzeć tutaj: http://prawo.vagla.pl/node/5839

Nie widzę też powodu, żeby moją politykę bezpieczeństwa pokazywać organizacji, której powierzam dane. Nawet jeżeli zobowiążę ją w umowie do przestrzegania zapisów mojej polityki bezpieczeństwa, nie oznacza to, że powinna poznać część która jej nie dotyczy.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

No i zaczyna się problem z interpretacją określenia polityka bezpieczeństwa.

Dlatego jestem nadal za moją konstrukcją, ze jest jeden dokument wiodący, jak się nazywać będzie mniejsza sprawa. A do tego załączniki, w tym polityka bezpieczeństwa ODO.

Ten ogólny, niech sobie wisi gdzie chce, zgodnei z wymogami ISO. Ale ten będący spełnieniem wymogów ODO, niech będzie określony ściśle komu i jak jest udostępniany.

Tak samo proponuje do tejmenic przedsiębiorstwa.
Link do wypowiedziLink
Piotr Sojka

Piotr Sojka Inspektor Ochrony
Danych

Temat: Polityki i instrukcje w organizacji?

Szanowni Panowie.

Być może moje doświadczenie w tej kwestii nie jest aż tak duże ale ośmielam sie stwierdzić, że udostępnianie polityki bezpieczeństwa podmotom zewnętrznym jest absolutnie marginalnym zagadneniem.
Wiem, że w dobrym tonie jest narzekać na uodo, natomiast przymus opracowania polityki bezpieczeństwa i wdrożenia jej w organizacji jest bardzo dobrym pomysłem.
Być może Panowie nie macie problemu z zabezpieczeniem danych osobowych w swoich firmach, ale zwróćcie uwage, że w wielu miejscach (np urzędach) ochroną danych osobowych zajmują się osoby bardzo przypadkowe. Moim zdaniem wyznaczenie podstawowych kierunków w jakich pójdzie proces zabezpieczenia danych osobowych, działa tak spisanie procedur w ISO: nagle zdajemy sobie sprawę co robimy.

Chętnie podejmę dyskusje na temat tego do czego może służyć polityka bezpieczeństwa, oczywiście odpowiednio wprowadzona i wdrożona a także utrzymywana przez odpowiednio namaszczonego ABI.

Dyskusja co do kształtu polityki wydaje się być zbędna. Osobiście zgadzam się po części z Panem Grzegorzem Kamińskim. Polityka jako taka, jest jednym bardzo ogólnym dokumentem, natomiast wszystkie szczegółowe rozwiązania umieściłbym w załacznikach o różnym stopniu niejawności.

Pozdrawiam Panów serdecznie

Peter Sojka

Co do pytania Pana Jarosława "A dlaczego niby polityka bezpieczeństwa (w rozumieniu uodo) miałaby być udostępniana każdemu?" to zależy od firmy. W urzędach, na przykład, jeśli dokument nie jest dokumentem niejawnym stanowi informację publiczną. Natomiast pokazanie kontrahentowi dokładnej informacji do jakich musi się dopasować zasad, jest tylko i wyłącznie ułatwieniem dla nas.

Peter
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Polityki i instrukcje w organizacji?

Witam,

Ja również chętnie podejmę dyskusję co do polityki bezpieczeństwa - jej zastosowania. Panie Peterze - do czego Pana zdaniem służy polityka bezpieczeństwa? I co ma Pan na myśli - "odpowiednio wprowadzona i wdrożona"?

Co do kształtu to przychylę się do wypowiedzi Grzegorza K. Jak najbardziej poprawna jest konstrukcja z dokumentem głównym i załącznikami poufnymi i jawnymi.

Pozdrawiam
Michał
Link do wypowiedziLink
Piotr Sojka

Piotr Sojka Inspektor Ochrony
Danych

Temat: Polityki i instrukcje w organizacji?

Panowie - ja się nie chce mądrzyć ale zadam kilka pytań zanim przejdziemy dalej:

1. Jaki w Waszych firmach jest status ABI?
2. Co nalezy do obowiązków ABI?
3. Jak odbierają Was pracownicy firmy?

Broń Boże nie podważam Waszego spojrzenia. Jeśli się sprawdza i umiecię ją obronić przed GIODO i swoimi współpracownikami to na 100% jest dobra.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Relacje z dostawcami, a bez...




Wyślij zaproszenie do
Anuluj