Co zrobić, żeby obszar przetwarzania danych osobowych był bezpieczny

Piotr Glen

Autor: Piotr Glen

Dodano: 8 maja 2017
Dokument archiwalny
Co zrobić, żeby obszar przetwarzania danych osobowych był bezpieczny

Administrator danych musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń. Sprawdź, jak zabezpieczyć obszar, w którym przetwarzane są dane osobowe. Poznaj praktyczne wskazówki, które pomogą Ci chronić dane zgodnie z ogólnym rozporządzeniem o ochronie danych.

Dane osobowe trzeba zabezpieczeć w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie danych osobowych iart. 24 ogólnego rozporządzenia o ochronie danych)

Czym jest obszar przetwarznia danych

Jednym z ważnych elementów środków ochrony fizycznej jest bezpieczny obszar przetwarzania danych. Należy m.in. zadbać o to, aby pomieszczenia, w których są przetwarzane dane osobowe, składające się na obszar przetwarzania danych, były zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

Ważne:

Przebywanie osób nieuprawnionych w obszarze przetwarzania powinno być dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

W skład obszaru przetwarzania danych wchodzą budynki, pomieszczenia lub ich części, w których przetwarzane są dane osobowe. Obszarem przetwarzania danych nie są pomieszczenia socjalne i ogólnodostępne. W jego skład nie wejdą też prywatne mieszkania pracowników, którzy zdalnie, z domu wykonują pracę związaną z przetwarzaniem danych.

Wprowadź politykę czystego biurka

W pomieszczeniach służbowych siedziby lub oddziałów administratora danych należy wprowadzić politykę czystego biurka dla dokumentów papierowych i nośników elektronicznych.

Zgodnie z nią w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik jest zobowiązany do umieszczenia wszelkich dokumentów i nośników zawierających dane osobowe w bezpiecznym miejscu, np. zamykanej szafce, aby uniemożliwić dostęp do nich osobom nieuprawnionym.

Nie należy zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących.  Pracownicy, którzy korzystają z urządzeń biurowych, nie powinni zostawiać żadnych dokumentów w otoczeniu oraz wewnątrz urządzeń, na czas dłuższy niż jest to konieczne. Urządzenia drukujące, kopiujące, faksy powinny znajdować się w miejscu niedostępnym dla osób nieuprawnionych.

Dostęp do pomieszczeń po godzinach pracy powinien być ograniczony do minimum, możliwy za wiedzą i zgodą administratora i rozliczalny, czyli powinno być wiadomo, kto, kiedy i gdzie przebywał. Przydaje się tu odpowiedni system kontroli dostępu, indywidualne kody do uzbrajania i wyłączania alarmu, czasami monitoring wizyjny, a przede wszystkim przemyślana gospodarka kluczami.

Dbaj o bezpieczeństwo kluczy

Nazbyt często klucze do szaf czy pomieszczeń, w których są przechowywane dane osobowe, chowa się w tzw. umówionych miejscach. To nie jest odpowiednia metoda. Pomocne w tym zakresie są gablotki czy kasety na klucze zamykane na szyfr. Może to być nawet prosta kłódka z szyfrowym zamkiem. Trzeba jednak przemyśleć, kto i ile osób będzie znało szyfr, czy i na jakich zasadach będzie można użyć awaryjnego klucza zapasowego, tak aby zawsze był dostęp dla uprawnionych osób do pomieszczeń i do danych, nawet w przypadku zagubienia klucza czy zapomnienia kodu. Gospodarka kluczami będzie więc wyglądać różnie u różnych administratorów.

Nie ma jednego wzoru na opis gospodarowania kluczami. W jednym przypadku klucze będą zostawiane na recepcji, a w innym pracownicy będą uprawnieni do noszenia ich ze sobą. W każdym przypadku musi być to jednak pod kontrolą. Jeżeli osoba upoważniona otrzymuje klucz do pomieszczenia, czy kartę dostępową, to powinno być to odnotowane. Służą temu odpowiednie protokoły lub ewidencja przydzielonych kluczy.

Wykaz środków bezpieczeństwa, jakie należy stosować

Unijne rozporządzenie o ochronie danych osobowych w zakresie stosowania odpowiednich środków bezpieczeństwa, zarówno organizacyjnych, jak i technicznych jest ogólne. Nie znajdziemy tam szczegółowych wytycznych, wskazówek czy listy kontrolnej dotyczącej możliwych czy zalecanych środków bezpieczeństwa. Artykuł 24 ust. 2 i 3 RODO mówi jednak, że środki bezpieczeństwa obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych lub stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji.

Można więc korzystać z międzynarodowych norm ISO, na przykład z grupy 27000, dotyczących systemów zarządzania bezpieczeństwem informacji. Tam znajduje się wiele zasad i wytycznych dotyczących bezpieczeństwa fizycznego. Przykładowo, w celu ochrony przed nieautoryzowanym dostępem fizycznym, środki przetwarzania informacji powinny być zlokalizowane w bezpiecznych obszarach, wyznaczonych za pomocą fizycznej granicy (bariery, ściany, bramki wejściowe, recepcja z obsługą).

Fizyczne granice obszarów bezpiecznych

Dla fizycznych granic obszarów bezpiecznych należy zastosować następujące wskazówki:

1) precyzyjne określenie granic obszaru bezpiecznego oraz dostosowanie zabezpieczeń do aktywów będących wewnątrz tego obszaru z uwzględnieniem oszacowania ryzyka;

2) ściany zewnętrzne budynków, w których zlokalizowano środki przetwarzania informacji, mają solidną konstrukcję, a drzwi zewnętrzne są odpowiednio zabezpieczone przed nieautoryzowanym dostępem za pomocą mechanizmów zabezpieczeń, np. alarmów, drzwi i okna, są zamykane i monitorowane;

3) recepcja z obsługą lub zastosowanie innego środka kontroli dostępu tylko dla autoryzowanego personelu;

4) wyposażenie w alarm drzwi przeciwpożarowych zlokalizowanych na granicy obszaru bezpiecznego, monitorowanie i testowanie drzwi pod kątem poziomu ich odporności, zgodnie z odpowiednimi normami;

5) drzwi zewnętrzne, okna oraz pomieszczenia szczególnie chronione (serwerownie, pomieszczenia z aktami personalnymi, pomieszczenia finansowe) mają zainstalowane systemy wykrywania włamań (zgodne z odpowiednimi normami);

6) rozdzielenie środków przetwarzania informacji zarządzanych przez firmę od zarządzanych przez firmę zewnętrzną.

Ważne:

Wprowadzenie wielu barier fizycznych w instytucji podwyższa poziom ochrony, gdyż przełamanie jednej z nich nie musi oznaczać naruszenia bezpieczeństwa. Wiele stref ochrony stwarza konieczność określenia różnych wymagań bezpieczeństwa, dla których może okazać się niezbędne zastosowanie dodatkowych barier. Szczególne środki bezpieczeństwa zastosuj w przypadku budynku wykorzystywanego przez kilka instytucji.

Wymagania wobec zabezpieczeń

Aby chronić obszary bezpieczne, wdrożone zabezpieczenia powinny umożliwiać dostęp tylko autoryzowanemu personelowi, uwzględniając następujące założenia:

  • rejestrowanie daty i czasu wejścia i wyjścia gości;
  • monitorowanie pobytu gości w obszarach bezpiecznych;
  • kontrolowanie dostępu do obszarów przetwarzania informacji wrażliwych;
  • rygorystyczne przestrzeganie noszenia identyfikatorów (w widocznym miejscu) przez pracowników instytucji oraz pracowników firmy zewnętrznej;
  • przyznawanie dostępu do obszaru bezpiecznego pracownikom firmy zewnętrznej tylko według zasady wiedzy niezbędnej (need to know);
  • regularne przeglądanie i aktualizowanie praw dostępu do obszarów bezpiecznych.

Ochrona fizyczna pomieszczeń i sprzętu

W procesie projektowania i wdrażania ochrony fizycznej pomieszczeń i sprzętu należy skorzystać z następujących zasad:

  • stosuj normy i regulacje wewnętrzne w zakresie bezpieczeństwa i higieny pracy;
  • ogranicz publiczny dostęp do urządzeń kluczowych;
  • budynki nie mogą wskazywać, że w nich są przetwarzane informacje;
  • wykazy, spisy i wewnętrzne książki telefoniczne zawierające lokalizacje środków przetwarzania informacji wrażliwych nie mogą być publicznie dostępne.

Zagrożenia zewnętrzne i środowiskowe

W ramach ochrony fizycznej należy uwzględnić zagrożenia zewnętrzne i środowiskowe (pożar, zalanie, wybuch, katastrofy i inne zagrożenia naturalne). W tym celu musisz:

  • unikać przechowywania materiałów niebezpiecznych lub grożących wybuchem w obszarze bezpiecznym;
  • ustalić lokalizację sprzętu zapasowego i nośników kopii zapasowych w bezpiecznej odległości;
  • umieścić sprzęt gaśniczy w odpowiednich i łatwo dostępnych lokalizacjach.

Mechanizmy ochrony fizycznej

Dla obszarów bezpiecznych musisz opracować i wdrożyć mechanizmy ochrony fizycznej oraz wytyczne do pracy, które obejmują:

  • przekazywanie pracownikom niezbędnej wiedzy w zakresie istnienia obszaru bezpiecznego;
  • stosowanie zasady niewykonywania pracy bez nadzoru w obszarze bezpiecznym;
  • okresowe sprawdzanie obszarów bezpiecznych;
  • nieużywanie urządzeń rejestrujących dźwięk i obraz, z zastrzeżeniem odpowiedniego upoważnienia.
Podstawa prawna: 
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024),
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x