Temat: Środki techniczne i organizacyjne a kontrola GIODO

Witam,

wdałam się ostatnio w dyskusję na temat przygotowania firmy będącej ADO do zabezpieczenia przetwarzanych danych osobowych zgodnie z wytycznymi UODO i odpowiednich rozporządzeń Ministra Spraw Wewnętrznych i Administracji.
Reprezentuję pogląd, że jeśli coś robimy to róbmy to dobrze - przygotujmy tak organizację ADO, żeby zachodziła ciągłość procesu ochrony i możliwość doskonalenia wybranych środków organizacyjnych i technicznych ( podejście procesowe znane z systemów zarządzania). Mój interlokutor powołując się na osobiste doświadczenia, wskazywał jednak, że dla samego Biura GIODO w razie kontroli - to i tak nie będzie miało znaczenia jeśli będzie formalnie spełnione minimum dot. zapisów polityki bezpieczeństwa.
Spornym był punkt w tym minimum :
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.

I teraz pytanie do Państwa doświadczeń. Czy kontrola w firmach rzeczywiście sprawdza czy jest minimum bez określania jakości i praktycznego aspektu zastosowanych środków technicznych i organizacyjnych?
Że wystarczy że napisze w PB ,iż mam drzwi wzmacniane i zmieniam hasło na stacjach roboczych co 30 dni ale np. już bez określania procedur zw. z incydentami naruszenia bezpieczeństwa czy szkoleniami pracowników w firmie.

Czy też może jednak Urząd weryfikuje podczas kontroli czy środki i techniczne i organizacyjne określone w dokumentacji odpowiadają realiom panującym w danej firmie i wskazują na to, że dane są chronione w sposób ciągły i skuteczny ( zapisy ze szkoleń, zapisy z incydentów etc.)?

Reasumując - czy kontrola z Urzędu skupia się bardziej na aspektach teoretycznych czy także praktycznych? I jaką rolę odgrywa w trakcie jej przebiegu sama dokumentacja?

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Tu był bardzo duży post dotyczący organizacji bezpieczeństwa. Ale był za długi ;-)))

Art. 12. Do zadań Generalnego Inspektora w szczególności należy:

1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

Jest Pani Pełnomocnikiem - termin ZGODNOŚĆ jest Pani znany. Proszę potraktować przepisy o ochronie danych osobowych, jako kryterium, poszukać WYMAGAŃ i odpowiedź będzie prosta.

A resztę, pozwolę sobie w drugim poście.

Edit: literówka w kodzie bbGrzegorz K. edytował(a) ten post dnia 21.10.11 o godzinie 15:15

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Kilka moich spostrzeżeń. Wszystko jest moim zdaniem, więc nie należy tego traktować jak wytyczne, jedynie objawiona prawdę, czy cokolwiek ;-)))

Po pierwsze, pisze Pani o kwestii szkoleń, obsługi incydentów etc. Troszkę się podroczę, bo tutaj myślę, że jest pomylenie dwóch tematów:
1. Auditowanie systemu bezpieczeństwa
2. Ocena otoczenia, wpływającego na system

Informacja o tym, czy szkolenia były, czy incydenty są, to jest ocena zapisów, dzięki której wiemy że SYSTEM, w założonym kształcie funkcjonuje.

W ten sam sposób działają również inspektorzy, typowy skład to prawnik i informatyk. Sprawdzają system na zgodność z przepisami (co cytowałem) kolejnym podobieństwem jest organizacja audytu z 19011 i przepisów wewnętrznych jednostek administracji rządowej i samorządowej dotyczące kontroli. Jest program roczny (różnie się nazywa), z planami konkretnej kontroli (też różnie się nazywa). Niemniej, mając nieco wiedzy o ISO i działaniu administracji rządowej i samorządowej dostrzegam wiele zbieżności i prawdopodobieństw.

Teraz co do podejścia jakie Pani prezentuje. Fajne, tylko... ten zakres nie jest możliwy do spełnienia siłami obecnych kontrolerów GIODO. Bo żaden przepis nie narzuca wiodącej metodyki oceny zagrożeń, co oznacza, że może to być wykonane na standardach Ministerstwa Finansów, Zarządzanie ryzykiem w sektorze publicznym, można to zrobić na wytycznych MF dla jednostek sektora finansów publicznych wydanych do kontroli zarządczej (ustawa o finansach publicznych art 68), można to zrobić na ISO 31000, można tez na ISO 27005, ale z tej samej puli, tez na raporcie technicznym ISO/IEC TR 133350-3. Albo na najprostszym modelu - prawdopodobieństwo x skutek.

Tylko... wymieniłem podstawowe standardy dotyczące szacowania ryzyka, czyli analizy zagrożeń i typowania jej skutku. Są jeszcze standardy branżowe, wydane np przez FERMA, a trochę skrzywione na ubezpieczycieli, jest nasz krajowy TISM (pozdrawiam członków zespołu, bo wiem, że tu zaglądają), mamy UODO Survival KIT, zespołu ODOSI.

Który z tych standardów ma byc wiodącym - cóż.. Najbardziej adekwatny dla działalności firmy. A czemu ma to robić? Przepraszam, teraz bezczelna kryptoreklama ;-)))
http://blog.gregoriann.eu/porady-czyli-od-czego-jest-a...

Naprawdę mamy zmusić naszych inspektorów z GIODO do poznania ich wszystkich, tak, żeby zrozumieć, jaka przyjęliśmy metodykę? ;-)))

Druga kwestia, to owe zabezpieczenia organizacyjne i techniczne. Napisała Pani o obiciu drzwi blachą. Wykonawca zadeklarował jaką klasę teraz te drzwi mają?

Znowu kryptoreklama, ale jak będę pisał, to skończę o północy. Więc proszę o wybaczenie ;-)))
http://blog.gregoriann.eu/przechowywanie-wartosci-wymo...

Co prawda wpis na blogu oparty jest o stare wytyczne dotyczące przechowywania wartości, ale ma pewne walory, miedzy innymi wzór, wyjaśnienie jednostek oporowych etc.

W tym artykule jest o wartościach pieniężnych, niemniej, zasady podobne obowiązują tez przy zabezpieczaniu czegokolwiek. W tym danych osobowych. Niestety, rozporządzenie skupia się głównie na zabezpieczeniu ich w systemie informatycznym, co moim zdaniem jest kluczowym błędem.

System informatyczny nie jest wirtualny, jego warstwa transportowa (sieć, kable, nośniki) są jak najbardziej fizyczne. Są podatne na pożar, zalanie, zniszczenie. Zalanie może byc spowodowane czynnikiem inicjującym w postaci silnego opadu (słabe systemy odprowadzające) usterki sieci wod-kan, zalania ...herbatą ;-)))

Nie wyobrażam sobie, żeby kontrolujący inspektor był w stanie w ciągu kilku dni poznać po pierwsze metodykę, po drugie wczytać się w to, co napisał wykonujący analizę zagrożeń (wszak 39a mówi o ochronie adekwatnej do zagrożeń), zapoznać się ze źródłami informacji o zagrożeniach miejscowych, wynikających z działania sił natury, urządzeń i instalacji technicznych oraz działania (zaniechania) człowieka - umyślnego i nieumyślnego.

Przepraszam że zamęczam, ale jeszcze jeden wątek, już chyba ostatni. ABI nadzoruje - zawsze to powtarzam. W wielu miejscach natykam się na dyskusje, kim ma być ABI - informatykiem, czy prawnikiem. Ale zapominamy o "ochroniarzu".

Ustawa o ochronie osób i mienia (nie wiem, skąd to zawężenie) to jest przepis, który nadaje uprawnienia do organizowania ochrony fizycznej, realizacji jej etc. Istnieje w niej podział na dwa główne zakresy organizowanej ochrony:
1. ochrona fizyczna
2. zabezpieczenie techniczne

Ta pierwsza - to jest ORGANIZACYJNY aspekt ochrony, prosty do wykorzystania w zabezpieczeniu danych. Pracownik ochrony, sprawdzający na wjeździe przepustki, według własnej instrukcji ruchu osobowego wykonuje zadania wytworzenia i ochrony strefy przetwarzania danych osobowych przed dostępem osób nieuprawnionych.

Ten sam dostęp może być tez chroniony przez kontrole dostępu, zrobioną również w celu (głównym) ochrony zasobów fizycznych, ale... w Metodyce Komendy Głównej Policji, w sprawie uzgadniania planów ochrony, jest zapis o informacjach prawnie chronionych.

Myślę, że nie zanudziłem za bardzo. Podsumuję. Poza byciem informatykiem i prawnikiem (podstawowy zespół kontrolny GIODO) żeby sprawdzić to o czym Pani pisze, potrzebny byłby jeszcze dobry pracownik ochrony. Wiedzący jakie sa obecnie normy, co to sa w ogóle klasyfikacje z norm, dla urządzeń, pomieszczeń, drzwi....

I żeby był wątek edukacyjny, kawałek z raportu z jednego starego audytu, właśnie w kontekście art 39 a, adekwatne zabezpieczenia do zagrożeń (nie ma wytycznych dla zagrożeń miejscowych - pożar, zalanie, temperatura etc)

Oprócz dokumentów, polityk, materiałów źródłowych, regulaminów, jakie zostały opisane w rozdziale „Kryteria audytu”, Zespół posługiwał się również wytycznymi opisanymi w poniższych normach i standardach:
1. PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.
2. PN-ISO/IEC 27001 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania.
3. PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.
4. PN-ISO/IEC 27005 Technika informatyczna.
5. TISM v.1.4 – Total Information Security Management, European Network Security Information.
6. UODO Survival Kit, Wytyczna zarządzania i nadzoru nad systemami informatycznymi pod katem zgodności z Ustawą o ochronie danych osobowych, zespół ODOSI
7. The Orange Book, zarządzanie ryzkiem – zasady i koncepcje, Ministerstwo Skarbu UK.
8. Standard Zarządzania Ryzykiem, Federation of European Risk Management Associations.
9. Raport Techniczny ISO/IEC TR 13335-3. Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Część 3: Techniki zarządzania bezpieczeństwem systemów informatycznych.
10. PN-EN 50131:1 Systemy alarmowe. Systemy sygnalizacji włamania i napadu. Część 1: Wymagania systemowe.
11. PN-EN 50132-7 Systemy alarmowe. Systemy dozorowe CCTV stosowane w zabezpieczeniach. Część 7: Wytyczne stosowania.
12. PN-EN 50133-1 Systemy alarmowe. Systemy kontroli dostępu w zastosowaniach dotyczących zabezpieczenia. Część 1: Wymagania systemowe.
13. PN-EN 1300 Pomieszczenie i urządzenia do przechowywania wartości. Klasyfikacja zamków o wysokim stopniu zabezpieczenia z punktu widzenia odporności na nieuprawnione otwarcie.
14. PN-EN 1143-1 Pomieszczenia i urządzenia do przechowywania wartości. Wymagania, klasyfikacja i metody badań odporności na włamanie. Szafy, szafy ATM, pomieszczenia i drzwi do pomieszczeń.
15. Metodyka uzgadniania planów ochrony, obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie, Komenda Główna Policji, Biuro Prewencji i Ruchu Drogowego.
16. TSM – Total Security Management. Zalecenia do tworzenia Polityki Bezpieczeństwa Operacyjnego, v 1.0, European Networks Security Institute.Grzegorz K. edytował(a) ten post dnia 21.10.11 o godzinie 15:54

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Panie Grzegorzu,

Do Pana listu dodałbym jeszcze normy i przepisy dotyczące ochrony przeciwpożarowej i instalacji elektrycznych.

Niestety nie mam aktualnego spisu.

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Ja mam ;-)))

Ale to na drugi post, jak do biura wpadnę. Ten zakres wyżej to jest mój przy ocenie bezpieczeństwa danych osobowych, dlatego i kopie norm i standardów mam u siebie. Miejscowe, pożarówkę, techniczne, zalania, temperatury robi kolega.

Ale fajna analogia wychodzi odnośnie dyskusji (bo trochę tam wiedzy posiadać muszę jako wiodący). W pożarówce jest przegląd podręcznego sprzętu gaśniczego, wydajności hydrantów etc.

Przeglądy te maja za zadanie ocenić, czy system ochrony pożarowej jest sprawny i daje gwarancję prawidłowej reakcji. Ich skuteczność (tych przeglądów) i dokumentacja, która jest dowodem, daje nam informacje do analizy zagrożeń, o właśnie zagrożeniach pożarowych.

I teraz pytanie - czy inspektor z GIODO ma wiedzę, na temat tego, jak szacuje się ryzyko powstania pożaru, jak buduje się scenariusz jego rozwoju. Czy też jak zebrać dowody, na to, ze ryzykiem powstania pożaru się zarządza? Teoretycznie dowody w postaci papierowej ( choćby przeglądów) się znajdują.

Możemy dorzucić również panie Romanie ów prąd. Ale taki z zewnątrz ;-))) Jeśli wyjdzie nam zagrożenie uderzeniem pioruna, metodą scenariuszową dochodzimy do wniosku, że DO zostaną zniszczone (od samego uderzenia, lub piorun będzie czynnikiem inicjującym pożar), warto by sprawdzić pomiary pojemności instalacji odgromowej, podpięcia uziemień, tam, gdzie to wymagane, czyli od przyłączy gazowych, energetycznych po cała masę innych.

Wydaje mi się, że po prostu inspektor z GIODO nie ma możliwości w tak krótkim czasie zgłębić się w system bezpieczeństwa - od kształtu analizy zagrożeń, poprzez poziomy ryzyk akceptowalnych (choć tu mógłby na swój zakres zerknąć) po stosowane zabezpieczenia i ocenę ich adekwatności.

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Co do prądu to nie chodzi mi absolutnie o prąd naturalny (piruny wszelkiej maści). Raczej mam na uwadze ciągłośc i jakość zasilania oraz ewnetulany wpływ na systemy komputerowe do przetwarznia danych. Przy okablowaniu strukturalnym powyżej kat 5 może mieć to znaczenie.

Trochę też bezpieczeństwo ale raczej w zakresie BHP a nie danych osobowych

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Hmmm...

Troszkę się nie zgodzę. Prawie każdy zakres bezpieczeństwa przenika się z ochroną danych osobowych. Piorun walnie, pożar powstanie, nie będzie patrzył, na którym kompie, czy w której szafie są dane i je ominie. ;-)))

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Panowie,

nie mam wątpliwości co do tego, że urząd GIODO nie posiada w chwili obecnej takich możliwości, które dałyby możliwość tak dogłębnej oceny zastosowanych rozwiązań przez ADO w zakresie ODO i ich zgodności z wytycznymi w poszczególnych normach.
Moje pytanie dotyczyło tego czy środki organizacyjne są w czasie kontroli weryfikowane - przynajmniej na podstawie dowodów w postaci istniejących zapisów papierowych - oraz czy same procedury ( o ile zostały stworzone wyłącznie na potrzeby ODO a nie są elementem innego systemu) warto umieszczać w tekście polityki bezpieczeństwa - procedura dot. szkoleń, procedura dot. niszczenia danych, procedura na wypadek wystąpienia incydentu etc. czy też z punktu widzenia inspektorów wystarczy ogólny zapis że np. ABI nadzoruje przeprowadzenie szkoleń zw. z ODO w organizacji ADO lub że prowadzi rejestr incydentów.
I dalej, jaka funkcję w czasie kontroli pełni tak naprawdę dokumentacja ODO - czy w praktyce wystarczy że ADO spełni wymóg z Art.36.2. i posiada dokumentację w ogóle a inspektorzy skuteczność spełnienia Art.36.1. oceniają na podstawie prowadzonych czynności kontrolnych czy też dokumentacja jest podstawą do oceny skuteczności spełnienia zapisu z Art.36.1 UODO w trakcie kontroli ( na podstawie oceny istniejących dowodów w postaci zapisów oraz dodatkowo na podstawie wizji lokalnej) - tak jak jest to rozwiązane przy audytowaniu systemów zarządzania.

Panie Grzegorzu, dziękuję jednak za bardzo interesujący opis i za listę norm w jednym miejscu - wiedza naprawdę bezcenna.

Temat: Środki techniczne i organizacyjne a kontrola GIODO

Pani Moniko,

Nie miałem "przyjemności" być kontrolowanym przez GIODO. Miałem jedynię kontrolę z korporacyjnego działu bezpieczeństwa w tym również w zakresie danych osobowych.

Moje doświadczenie pokazuje, że wszystko zależy od osoby kontrolującej. Od jej stanu wiedzy i znajomości tematu. Nie ma tu jednego schematu kontorli choć kontrolerzy posługują się zarówno aktami prawnymi, normami jak i dobrymi praktykami.

Poandto o ile pamiętam to kontrola z GIODO składa się z minimum dwuch osób - prawnika i informatyka. Więc zakres kontorli może być jednak dość duży i szczegółowy. Ponadto wszystko będzie zależało od typu przetwarzanych danych i powodu kontroli. W przypadku zwykłych danych lub "słabego" powodu kontroli sama kontrola będzie dość łagodna. Jeżeli będą to dane sensytywne lub "mocny" powód to raczej nie liczyłbym na podjeście ulgowe.

Znam przypadek firmy która prowadziła badania nad lekami do której trafiła kontrola GIODO po złożeniu przez nią wniosku o rejestrację dodatkowej bazy w związku z chęcią rozpoczęcia badań and kolejnym lekiem. Jakiegoś szczególnego powodu kontorli nie było ale lokalny ABI naprawdę mocno musiał sie napocić i lista zaleceń pokontrolnych była bardzo długa choć "czepiano" się naprawde szczegółów (np. brak czytelnego podpisu pracownika na liście szkoleńw zakresie ochrony danych).