System Zarządzania Bezpieczeństwem Informacji (SZBI) w Twojej organizacji
Podmiot publiczny musi zarządzać bezpieczeństwem informacji w tym danych osobowych na określonych zasadach przewidzianych w przepisach krajowych. Całokształt zasad zarządzania bezpieczeństwem informacji składa się na SZBI czyli System Zarządzania Bezpieczeństwem Informacji. Kto musi wdrożyć SZBI? Jakie obowiązki spoczywają na administratorze? Wyjaśnienie w artykule.
System Zarządzania Bezpieczeństwem Informacji – co to takiego
System Zarządzania Bezpieczeństwem Informacji (SZBI) to zbiór:
- polityk,
- procedur,
- wytycznych,
- przydzielonych zasobów oraz aktywności,
zarządzanych wspólnie przez organizację w celu ochrony swoich zasobów informacyjnych. Innymi słowy, jest to całość dokumentacji dotyczącej ochrony informacji w organizacji, a więc nie tylko danych osobowych ale także:
- informacji niejawnych,
- tajemnicy handlowej,
- tajemnicy zawodowej
- innych tajemnic.
Zarządzanie bezpieczeństwem informacji ma zapewnić:
- poufność,
- dostępność,
- integralność.
chronionych informacji. System musi uwzględniać następujące atrybuty
- autentyczność,
- rozliczalność,
- niezaprzeczalność,
- niezawodność.
Kto musi wprowadzić System Zarządzania Bezpieczeństwem Informacji
Zarządzanie bezpieczeństwem informacji w przedstawionym rozumieniu do obowiązek podmiotów wykonujących zadania publiczne. Kto ma status podmiotu realizującego zadania publiczne? Brak jest definicji zarówno w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne jak i rozporządzeniu Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Tymczasem właśnie te akty prawne należy odnosić do SZBI.
W art. 2 tej ustawy zdefiniowano natomiast „podmiot publiczny”, który należy utożsamić z podmiotem wykonującym zadania publiczne.
Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji mają podmioty publiczne:
- organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki organizacyjne prokuratury,
- jednostki samorządu terytorialnego i ich organów,
- jednostki budżetowe i samorządowe zakłady budżetowe,
- fundusze celowe,
- samodzielne publiczne zakłady opieki zdrowotnej oraz spółki wykonujące działalność leczniczą w rozumieniu przepisów o działalności leczniczej,
- Zakład Ubezpieczeń Społecznych, Kasa Rolniczego Ubezpieczenia Społecznego,
- Narodowy Fundusz Zdrowia,
- państwowe lub samorządowe osoby prawne utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych.
Poza wdrożeniem SZBI należy także ten system:
- eksploatować,
- monitorować,
- przeglądać,
- utrzymywać,
- doskonalić.
Opisywane reguły przestaną obowiązywać z dniem 24 maja 2024 r.
Czy procesor także wdraża SZBI
Procesor może przetwarzać dane osobowe przekazane przez administratorów będących jednostkami publicznymi, które wdrożyły SZBI. Czy w takiej sytuacji musi stosować SZBI? Niekoniecznie. Wprawdzie w umowie powierzenia właściwie jest uregulowanie:
- obowiązku udostępniania administratorowi przez podmiot przetwarzający wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO.
- zasad przeprowadzania audytów, w tym inspekcji przez administratora w podmiocie przetwarzającym.
Dlatego administrator może oczekiwać stosowania rozwiązań pochodzących z tego systemu także od procesora. Niemniej jednak takie wymogi na procesora mogłaby nakładać jedynie umowa powierzenia. W braku odpowiednich zapisów w umowie procesor nie musi wdrażać Systemu Zarządzania Bezpieczeństwem Informacji.
Przeczytaj także: Czy procesor musi stosować SZBI
Zarządzanie bezpieczeństwem informacji a ochrona danych osobowych
Jak już wskazano, zarządzanie bezpieczeństwem informacji ma obejmować także (ale nie tylko) dane osobowe. W związku z tym istnieje możliwość połączenia dokumentacji dotyczącej danych osobowych i pozostałych informacji np. w dokumencie nazwanym „instrukcja zarządzania bezpieczeństwem” lub „polityka bezpieczeństwa”.
Zagadnienia związane z bezpieczeństwem danych osobowych będą objęte dokumentacją w ramach SZBI.
15 dodatkowych zadań w zakresie zarządzania bezpieczeństwem informacji w organizacji
Wdrożenie i stosowanie Systemu Zarządzania Bezpieczeństwem Informacji wiąże się z dodatkowymi obowiązkami dla podmiotu publicznego. Wymieniono je w § 20 ust. 2 rozporządzenia RM z 12 kwietnia 2012 r. Jest to katalog otwarty.
|
Lp. |
Obowiązki w ramach zarządzania bezpieczeństwem informacji |
|
1. |
Zapewnij aktualizację regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia (uwzględniając cyberbezpieczeństwo). |
|
2. |
Dbaj o aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji (obejmującą ich rodzaj i konfigurację) |
|
3. |
Przeprowadzaj okresowe analizy ryzyka związanych z naruszeniem poufności, integralności lub dostępności informacji. Podejmuj działania mitygujące to ryzyko, stosownie do wyników przeprowadzonej analizy. |
|
4. |
Ustanawiaj dodatkowe zabezpieczenia w systemach IT (w zależności od rezultatów analiz ryzyka). |
|
5. |
Zapewnij, by osoby zaangażowane w proces przetwarzania informacji posiadały stosowne uprawnienia i uczestniczyły w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji. |
|
6. |
Niezwłocznie modyfikuj uprawnienia wskazanych osób, w przypadku zmiany ich zadań. |
|
7. |
Zapewnij szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
|
|
8. |
Zapewnij ochronę przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
|
|
9. |
Ustal podstawowe zasady zapewniające bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość. |
|
10. |
Zabezpiecz informacje w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie. |
|
11. |
Uwzględniaj w umowach serwisowych podpisanych ze stronami trzecimi zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji. |
|
12. |
Ustal zasady postępowania z informacjami zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych. |
|
13. |
Zapewnij odpowiedni poziomu bezpieczeństwa w systemach IT, polegającego w szczególności na:
|
|
14. |
Niezwłocznie zgłaszaj incydenty naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. Przeczytaj także: Co zawrzeć w procedurze reagowania na incydenty oraz pobierz wzór karty oceny incydentu. |
|
15. |
Zapewnij okresowy audyt wewnętrzny dotyczący bezpieczeństwa informacji. |
Audyt wewnętrzny w zakresie bezpieczeństwa informacji - zgodnie z normą ISO 27001
Jednym ze najważniejszych obowiązków w ramach zarządzania bezpieczeństwem informacji jest zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji.
Okresowy audyt bezpieczeństwa informacji przeprowadza się co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia RM z 12 kwietnia 2012 r.).
Audyt bezpieczeństwa przeprowadzany jest na podstawie norm związanych z normą ISO 27001, w tym:
- PN-ISO/IEC 27002 - w odniesieniu do ustanawiania zabezpieczeń;
- PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;
- PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Oznacza to, że audytor, którego wybierze jednostka, musi wykazać się najwyższym poziomem znajomości tych norm.
Przeprowadzenie audytu należy udokumentować. W tym celu warto zobowiązać audytora do raportowania podejmowanych czynności np. w elektronicznym rejestrze, który potem można wydrukować.
- ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn.: Dz.U. z 2023 r. poz. 57) – art. 2,
- rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jedn.: Dz.U. z 2017 r. poz. 2247) - § 20
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
- Standardy ochrony małoletnich – przetwarzanie danych osobowych w zaświadczeniach o niekaralności
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
