Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Witam.

Czytałem wytyczne dotyczące opracowania i wdrożenia polityki bezpieczeństwa informacji opublikowane pzez GIODO. Punkt 3 tego dokumentu dość szczegółowo wyjaśnia jak się powinno opisać struktury zbiorów danych osobowych. Jednak w mojej ocenie wygląda tak jakbym miał na nowo tworzyć dokumentację relacyjnej bazy danych programu kadrowo- płacowego.

Chciałbym zapytać doświadczonych ABI i wszystkich zajmujących się wdrażaniem polityk bezpieczeństwa informacji o:
1) na jakim poziomie abstrakcji opisać struktury zbiorów danych osobowych programu kadrowo- płacowego?
2) Czy można do tego użyć dokumentacji producenta danej aplikacji, w które były by szczegółowo opisane struktury danych i relacje między poszczególnymi tabelami, jak również ewentualnie interfejsy wymiany danych?

Ewentualnie proszę o porady jak ten temat jest realizowany w codziennej praktyce co pozwoliłoby mi stworzenie tego opisu na odpowiednim poziomie merytorycznym i prawnym.

Podrawiam

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Witaj,

Ad.1 Widziałem (i tworzyłem) takie rozwiązania:
- Po prostu spis pól. Opisowo, czyli imię, nazwisko, data urodzenia etc, a nie nazwy systemowych pól w bazie danych.
- Pełny zrzut struktury bazy łącznie z typem i długością pola.
Oba przechodziły kontrolę z GIODO i nikt się nie przyczepił.

Ad.2 Można. Wpisujesz w Politykę odwołanie do dokumentacji i tyle.

Pozdr,
MK

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Witam,
modelowo sytuacja wyglada tak, ze:
1) opis struktury to relacyjny schemat bazy danych wraz z opisem poszczegolnych pol bazodanowych (spisywanie pol z ekranu moze byc zaakceptowane przez inspektora albo nie - zalezy od sytuacji)
2) jesli dokumentacja techniczna posiada opis wskazany w pkt. 1 to w polityce mozliwe jest odwolanie sie do tej dokumentacji technicznej

pzdr

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Na stronach GIODO jest dość dokładny opis tego jak sporządzić Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Warto wspomnieć, że o taką dokumentację można zwrócić się do autora oprogramowania. Niektórzy autorzy udostępniają taką bazę bez problemów np. Płatnik jest dobrze opisany:
http://e-inspektorat.zus.pl/program_platnik.asp?id_pro...
http://213.25.26.225/dystrybucja/a1_8_01_001/dokumenta...

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Maciej Karczewski:
Witaj,

Ad.1 Widziałem (i tworzyłem) takie rozwiązania:
- Po prostu spis pól. Opisowo, czyli imię, nazwisko, data urodzenia etc, a nie nazwy systemowych pól w bazie danych.
- Pełny zrzut struktury bazy łącznie z typem i długością pola.
Oba przechodziły kontrolę z GIODO i nikt się nie przyczepił.
...

Pana Adam Myziak zasugerował, że spis pól mógłby nie być wystarczający dla inspektora. Z iloma takimi przypadkami miał Pan do czynienia? Czy dotyczyło to zbiorów podlegających rejestracji czy też np. zbiorów kadrowych?

Adam Myziak:
Witam,
modelowo sytuacja wyglada tak, ze:
1) opis struktury to relacyjny schemat bazy danych wraz z opisem poszczegolnych pol bazodanowych (spisywanie pol z ekranu moze byc zaakceptowane przez inspektora albo nie - zalezy od sytuacji)
...

Czy spotkał się Pan w praktyce z sytuacją, w której inspektor podczas kontroli zakwestionował opis struktury danych sporządzony na podstawie spisu z pól ekranu?

Adam Patkowski:

>...

Warto wspomnieć, że o taką dokumentację można zwrócić się do autora oprogramowania. Niektórzy autorzy udostępniają taką bazę bez problemów np. Płatnik jest dobrze opisany:
http://e-inspektorat.zus.pl/program_platnik.asp?id_pro...
http://213.25.26.225/dystrybucja/a1_8_01_001/dokumenta...

...
Wielki dzięki za link do tej dokumentacji. Na pewno bardzo się przyda jak i stanowi całkiem przyzwoity wzór jak powinna wyglądać dokumentacja pozostałych programów przetwarzających dane osobowe.

Pozdrawiam oraz dziękuję za zainteresowanie i odpowiedzi.Szymon B. edytował(a) ten post dnia 23.03.11 o godzinie 08:33

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Szymon B.:
Wielki dzięki za link do tej dokumentacji. Na pewno bardzo się przyda jak i stanowi całkiem przyzwoity wzór jak powinna wyglądać dokumentacja pozostałych programów przetwarzających dane osobowe.

Napisałem, że opis znajdziesz na stronach GIODO, to tam są wzory tych dokumentów.
http://www.giodo.gov.pl/163/id_art/1063/j/pl/
http://www.giodo.gov.pl/163/id_art/1064/j/pl/

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Adam Patkowski:

Napisałem, że opis znajdziesz na stronach GIODO, to tam są wzory tych dokumentów.
http://www.giodo.gov.pl/163/id_art/1063/j/pl/
http://www.giodo.gov.pl/163/id_art/1064/j/pl/

Z tymi dokumentami zapoznałem się, zanim zdałem pytanie tutaj. Chciałem natomiast dowiedzieć się jakie praktyki stosują różne osoby w odniesieniu do tych kwestii.

Nie mam dokumentacji do systemu kadrowo- płacowego, więc wykonanie jej samodzielnie (np. na wzór dokumentu "Program Płatnik. Struktury danych osobowych") uważam z mojej perspektywy za niemożliwe. Nie znam tego rozwiązania na tyle, żeby móc opisać znaczenie poszczególnych pól. A już tym bardziej wyszukiwanie wszystkich relacji między tabelami wydaje mi się czystą abstrakcją. Jeśli nie uda mi się wydobyć takiej dokumentacji od twórcy tej aplikacji to będę musiał jednak wykonać samodzielnie taki opis.

I tu zależało mi na cennych informacjach do jakiego maksymalnie stopnia można to uprościć, żebym jednak mógł w ogóle taki opis wykonać w rozsądnym czasie i żeby przy ewentualnej kontroli nikt się nie przyczepił.Szymon B. edytował(a) ten post dnia 23.03.11 o godzinie 11:56

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Dzwoniłem niedawno do jednego z większych dostawców oprogramowania dla małych przedsiębiorstw i dowiedziałem się, że nie udostępniają takich informacji. Wysmarowałem do nich maila, że dostarczają produkt z którego nikt nie może w Polsce legalnie korzystać i następnego dnia dostałem bardzo ładne struktury. Okazało się, że mieli taki dokument, tylko osoba z którą rozmawiałem o tym nie wiedziała… Czasami warto dostawców oprogramowania nieco ponaciskać.
Generalnie, ostatnio częściej od razu dostaję taki dokument niż mam z tym problemy.

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Szymon B.:

Maciej Karczewski:
Witaj,

Ad.1 Widziałem (i tworzyłem) takie rozwiązania:
- Po prostu spis pól. Opisowo, czyli imię, nazwisko, data urodzenia etc, a nie nazwy systemowych pól w bazie danych.
- Pełny zrzut struktury bazy łącznie z typem i długością pola.
Oba przechodziły kontrolę z GIODO i nikt się nie przyczepił.
...

Pana Adam Myziak zasugerował, że spis pól mógłby nie być wystarczający dla inspektora. Z iloma takimi przypadkami miał Pan do czynienia? Czy dotyczyło to zbiorów podlegających rejestracji czy też np. zbiorów kadrowych?

Adam Myziak:
Witam,
modelowo sytuacja wyglada tak, ze:
1) opis struktury to relacyjny schemat bazy danych wraz z opisem poszczegolnych pol bazodanowych (spisywanie pol z ekranu moze byc zaakceptowane przez inspektora albo nie - zalezy od sytuacji)
...

Czy spotkał się Pan w praktyce z sytuacją, w której inspektor podczas kontroli zakwestionował opis struktury danych sporządzony na podstawie spisu z pól ekranu?

Adam Patkowski:

>...

Warto wspomnieć, że o taką dokumentację można zwrócić się do autora oprogramowania. Niektórzy autorzy udostępniają taką bazę bez problemów np. Płatnik jest dobrze opisany:
http://e-inspektorat.zus.pl/program_platnik.asp?id_pro...
http://213.25.26.225/dystrybucja/a1_8_01_001/dokumenta...

...
Wielki dzięki za link do tej dokumentacji. Na pewno bardzo się przyda jak i stanowi całkiem przyzwoity wzór jak powinna wyglądać dokumentacja pozostałych programów przetwarzających dane osobowe.

Pozdrawiam oraz dziękuję za zainteresowanie i odpowiedzi.Szymon B. edytował(a) ten post dnia 23.03.11 o godzinie 08:33

mam za soba ponad 300 kontroli przeprowadzonych w ciagu 10 lat pracy w tej instytucji.
czy mysli Pan, ze pamietam w ilu przypadach zaakceptowalem spis z ekranu, a w ilu wymagalem, zeby polityka zawierala relacyjny schemat bazy?
to zalezy od sytuacji i od tego z jakim systemem mamy do czynienia. modelowo powinno to wygladac tak jak napisalem poprzednio

czasami inspektor to zaakcetpuje a czasami nie ...
jesli ktos chce probkowac temat na zywym organizmie podczas kontroli to jego wybor

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Adam Patkowski:
Na stronach GIODO jest dość dokładny opis tego jak sporządzić Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Warto wspomnieć, że o taką dokumentację można zwrócić się do autora oprogramowania. Niektórzy autorzy udostępniają taką bazę bez problemów np. Płatnik jest dobrze opisany:
http://e-inspektorat.zus.pl/program_platnik.asp?id_pro...
http://213.25.26.225/dystrybucja/a1_8_01_001/dokumenta...

Ja się zastanawiam, czy "państwowe" programy bądź programy o zamknietym kodzie należy tak dokładnie dokumentować (opis pól tabeli baz danych). W przypadku płatnika, od kiedy jest taka dokumentacja - ok, można ją dołączyć do dokumentacji (chociaż osobiście jestem zwolennikiem włączenia do dokumentacji linku do niej - oszczędzajmy papier), ale są programy, gdy wiemy, co przechowujemy, ale nie wiemy jak to przechowujemy - nie ma możliwości opisania struktury (nie ma dostępu do bazy danych, a producent oprogramowania nie udostępnia takiej dokumentacji z różnych przyczyn). Moim zdaniem to nie dyskwalifikuje programu do przetwarzania danych osobowych. Wtedy rację bytu znajdzie jakikolwiek opis.

Temat: Problemy praktyczne z opisem struktury zbiorów danych...

Szymon B.:

Pana Adam Myziak zasugerował, że spis pól mógłby nie być wystarczający dla inspektora. Z iloma takimi przypadkami miał Pan do czynienia? Czy dotyczyło to zbiorów podlegających rejestracji czy też np. zbiorów kadrowych?

Kilka kontroli było, z tego trzy w 2010 i 2011. W jednym przypadku był to zrzut struktury bazy SAP i, prawdę mówiąc, wątpię żeby inspektorzy się w to zagłębiali ;-) W dwóch pozostałych firmach w dokumentacji była zawartość bazy napisana "ludzkim językiem". Na przykład coś takiego:
Zbiór "Uczestnicy konkursów" - "nazwiska i imiona, adres zamieszkania lub pobytu, e-mail, numer telefonu, zdjęcie".