Temat: Środki techniczne i organizacyjne a kontrola GIODO
Kilka moich spostrzeżeń. Wszystko jest moim zdaniem, więc nie należy tego traktować jak wytyczne, jedynie objawiona prawdę, czy cokolwiek ;-)))
Po pierwsze, pisze Pani o kwestii szkoleń, obsługi incydentów etc. Troszkę się podroczę, bo tutaj myślę, że jest pomylenie dwóch tematów:
1. Auditowanie systemu bezpieczeństwa
2. Ocena otoczenia, wpływającego na system
Informacja o tym, czy szkolenia były, czy incydenty są, to jest ocena zapisów, dzięki której wiemy że SYSTEM, w założonym kształcie funkcjonuje.
W ten sam sposób działają również inspektorzy, typowy skład to prawnik i informatyk. Sprawdzają system na zgodność z przepisami (co cytowałem) kolejnym podobieństwem jest organizacja audytu z 19011 i przepisów wewnętrznych jednostek administracji rządowej i samorządowej dotyczące kontroli. Jest program roczny (różnie się nazywa), z planami konkretnej kontroli (też różnie się nazywa). Niemniej, mając nieco wiedzy o ISO i działaniu administracji rządowej i samorządowej dostrzegam wiele zbieżności i prawdopodobieństw.
Teraz co do podejścia jakie Pani prezentuje. Fajne, tylko... ten zakres nie jest możliwy do spełnienia siłami obecnych kontrolerów GIODO. Bo żaden przepis nie narzuca wiodącej metodyki oceny zagrożeń, co oznacza, że może to być wykonane na standardach Ministerstwa Finansów, Zarządzanie ryzykiem w sektorze publicznym, można to zrobić na wytycznych MF dla jednostek sektora finansów publicznych wydanych do kontroli zarządczej (ustawa o finansach publicznych art 68), można to zrobić na ISO 31000, można tez na ISO 27005, ale z tej samej puli, tez na raporcie technicznym ISO/IEC TR 133350-3. Albo na najprostszym modelu - prawdopodobieństwo x skutek.
Tylko... wymieniłem podstawowe standardy dotyczące szacowania ryzyka, czyli analizy zagrożeń i typowania jej skutku. Są jeszcze standardy branżowe, wydane np przez FERMA, a trochę skrzywione na ubezpieczycieli, jest nasz krajowy TISM (pozdrawiam członków zespołu, bo wiem, że tu zaglądają), mamy UODO Survival KIT, zespołu ODOSI.
Który z tych standardów ma byc wiodącym - cóż.. Najbardziej adekwatny dla działalności firmy. A czemu ma to robić? Przepraszam, teraz bezczelna kryptoreklama ;-)))
http://blog.gregoriann.eu/porady-czyli-od-czego-jest-a...
Naprawdę mamy zmusić naszych inspektorów z GIODO do poznania ich wszystkich, tak, żeby zrozumieć, jaka przyjęliśmy metodykę? ;-)))
Druga kwestia, to owe zabezpieczenia organizacyjne i techniczne. Napisała Pani o obiciu drzwi blachą. Wykonawca zadeklarował jaką klasę teraz te drzwi mają?
Znowu kryptoreklama, ale jak będę pisał, to skończę o północy. Więc proszę o wybaczenie ;-)))
http://blog.gregoriann.eu/przechowywanie-wartosci-wymo...
Co prawda wpis na blogu oparty jest o stare wytyczne dotyczące przechowywania wartości, ale ma pewne walory, miedzy innymi wzór, wyjaśnienie jednostek oporowych etc.
W tym artykule jest o wartościach pieniężnych, niemniej, zasady podobne obowiązują tez przy zabezpieczaniu czegokolwiek. W tym danych osobowych. Niestety, rozporządzenie skupia się głównie na zabezpieczeniu ich w systemie informatycznym, co moim zdaniem jest kluczowym błędem.
System informatyczny nie jest wirtualny, jego warstwa transportowa (sieć, kable, nośniki) są jak najbardziej fizyczne. Są podatne na pożar, zalanie, zniszczenie. Zalanie może byc spowodowane czynnikiem inicjującym w postaci silnego opadu (słabe systemy odprowadzające) usterki sieci wod-kan, zalania ...herbatą ;-)))
Nie wyobrażam sobie, żeby kontrolujący inspektor był w stanie w ciągu kilku dni poznać po pierwsze metodykę, po drugie wczytać się w to, co napisał wykonujący analizę zagrożeń (wszak 39a mówi o ochronie adekwatnej do zagrożeń), zapoznać się ze źródłami informacji o zagrożeniach miejscowych, wynikających z działania sił natury, urządzeń i instalacji technicznych oraz działania (zaniechania) człowieka - umyślnego i nieumyślnego.
Przepraszam że zamęczam, ale jeszcze jeden wątek, już chyba ostatni. ABI nadzoruje - zawsze to powtarzam. W wielu miejscach natykam się na dyskusje, kim ma być ABI - informatykiem, czy prawnikiem. Ale zapominamy o "ochroniarzu".
Ustawa o ochronie osób i mienia (nie wiem, skąd to zawężenie) to jest przepis, który nadaje uprawnienia do organizowania ochrony fizycznej, realizacji jej etc. Istnieje w niej podział na dwa główne zakresy organizowanej ochrony:
1. ochrona fizyczna
2. zabezpieczenie techniczne
Ta pierwsza - to jest ORGANIZACYJNY aspekt ochrony, prosty do wykorzystania w zabezpieczeniu danych. Pracownik ochrony, sprawdzający na wjeździe przepustki, według własnej instrukcji ruchu osobowego wykonuje zadania wytworzenia i ochrony strefy przetwarzania danych osobowych przed dostępem osób nieuprawnionych.
Ten sam dostęp może być tez chroniony przez kontrole dostępu, zrobioną również w celu (głównym) ochrony zasobów fizycznych, ale... w Metodyce Komendy Głównej Policji, w sprawie uzgadniania planów ochrony, jest zapis o informacjach prawnie chronionych.
Myślę, że nie zanudziłem za bardzo. Podsumuję. Poza byciem informatykiem i prawnikiem (podstawowy zespół kontrolny GIODO) żeby sprawdzić to o czym Pani pisze, potrzebny byłby jeszcze dobry pracownik ochrony. Wiedzący jakie sa obecnie normy, co to sa w ogóle klasyfikacje z norm, dla urządzeń, pomieszczeń, drzwi....
I żeby był wątek edukacyjny, kawałek z raportu z jednego starego audytu, właśnie w kontekście art 39 a, adekwatne zabezpieczenia do zagrożeń (nie ma wytycznych dla zagrożeń miejscowych - pożar, zalanie, temperatura etc)
Oprócz dokumentów, polityk, materiałów źródłowych, regulaminów, jakie zostały opisane w rozdziale „Kryteria audytu”, Zespół posługiwał się również wytycznymi opisanymi w poniższych normach i standardach:
1. PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.
2. PN-ISO/IEC 27001 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania.
3. PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.
4. PN-ISO/IEC 27005 Technika informatyczna.
5. TISM v.1.4 – Total Information Security Management, European Network Security Information.
6. UODO Survival Kit, Wytyczna zarządzania i nadzoru nad systemami informatycznymi pod katem zgodności z Ustawą o ochronie danych osobowych, zespół ODOSI
7. The Orange Book, zarządzanie ryzkiem – zasady i koncepcje, Ministerstwo Skarbu UK.
8. Standard Zarządzania Ryzykiem, Federation of European Risk Management Associations.
9. Raport Techniczny ISO/IEC TR 13335-3. Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Część 3: Techniki zarządzania bezpieczeństwem systemów informatycznych.
10. PN-EN 50131:1 Systemy alarmowe. Systemy sygnalizacji włamania i napadu. Część 1: Wymagania systemowe.
11. PN-EN 50132-7 Systemy alarmowe. Systemy dozorowe CCTV stosowane w zabezpieczeniach. Część 7: Wytyczne stosowania.
12. PN-EN 50133-1 Systemy alarmowe. Systemy kontroli dostępu w zastosowaniach dotyczących zabezpieczenia. Część 1: Wymagania systemowe.
13. PN-EN 1300 Pomieszczenie i urządzenia do przechowywania wartości. Klasyfikacja zamków o wysokim stopniu zabezpieczenia z punktu widzenia odporności na nieuprawnione otwarcie.
14. PN-EN 1143-1 Pomieszczenia i urządzenia do przechowywania wartości. Wymagania, klasyfikacja i metody badań odporności na włamanie. Szafy, szafy ATM, pomieszczenia i drzwi do pomieszczeń.
15. Metodyka uzgadniania planów ochrony, obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie, Komenda Główna Policji, Biuro Prewencji i Ruchu Drogowego.
16. TSM – Total Security Management. Zalecenia do tworzenia Polityki Bezpieczeństwa Operacyjnego, v 1.0, European Networks Security Institute.
Grzegorz K. edytował(a) ten post dnia 21.10.11 o godzinie 15:54