Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Pomieszczenia serwerowni – wymagania prawne

Data publikacji: 22-10-2020 Autor: Tomasz Cygan

Przepisy prawa polskiego stosunkowo rzadko posługują się terminologią techniczną. Pojęcie serwerowni także nie zostało w nich zdefiniowane. Ogólne rozporządzenie o ochronie danych również go nie określa, ale wskazuje na pewne możliwości zastosowania oraz organizacyjne i techniczne sposoby jego zabezpieczenia.

 

Historia zasłyszana. Nowo oddana serwerownia z licznymi, jak się okazało, nakładającymi się na siebie zabezpieczeniami: rolety pionowe w oknach, klimatyzacja, czujnik ruchu, alarm. W trakcie weekendu włącza się alarm. Portier dzwoni do informatyka z pytaniem, co robić. Informatyk przyjeżdża, wyłącza alarm i wchodzi do serwerowni. Nie stwierdza żadnego incydentu. Informatyk wraca do domu i po jakimś czasie sytuacja się powtarza. Aby uniknąć potrzeby kolejnej interwencji, informatyk – wbrew zasadom – wręcza portierowi klucz ze słowami: następnym razem najpierw sprawdź, czy coś się stało, a dopiero potem dzwoń do mnie. Po jakimś czasie okazało się, że nawiew klimatyzacji poruszał pionową roletę, która uruchamiała czujnik ruchu, a ten z kolei włączał alarm. Czasem zdarzają się także historie z pajęczynami i pająkami na czujkach ruchu w serwerowni. Oprócz wartości anegdotycznej stanowi to też wstęp do rozważań o wymaganiach prawnych dotyczących tego rodzaju pomieszczeń.


> Gdy pseudonimizacja jest niezbędna


Wskazań dotyczących zapewnienia bezpieczeństwa serwerowni można szukać wśród zasad ochrony danych osobowych – art. 5 ust. 1 lit. f rodo wskazuje między innymi na konieczność ograniczenia przechowywania („dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą”) oraz zapewnienie integralności i poufności (dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych).
Rozwinięciem tych zasad są konkretne przepisy zawierające cele stawiane osobom decyzyjnym. Artykuł 24 ust. 1 rodo nakazuje administratorom i podmiotom przetwarzającym wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rodo i aby można było wykazać te działania. Środki są w razie potrzeby poddawane przeglądom i uaktualniane. Natomiast treść art. 32 rodo wskazuje, że konieczne jest wdrożenie takich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym między innymi zastosowanie – w stosownym przypadku – pseudonimizacji oraz szyfrowania danych osobowych; zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.


> Serwerownie pod ochroną


Oceniając odpowiedni stopień bezpieczeństwa, należy uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Elementów należytego zabezpieczenia pomieszczeń serwerowni można doszukiwać się we wszystkich czterech wskazanych powyżej punktach. W zależności od sytuacji lub jak stanowi art. 32 rodo – w stosownym przypadku zabezpieczenie pomieszczeń serwerowni może wymagać szyfrowania danych osobowych, ale przede wszystkim należyte zabezpieczenie serwerowni wiąże się z koniecznością zapewnienia zdolności do poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.


Jednocześnie, biorąc pod uwagę wymagania rozliczalności określone w art. 5 ust. 2 rodo („Administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych osobowych i musi być w stanie wykazać ich przestrzeganie”) rozwiązania dotyczące zapewnienia bezpieczeństwa pomieszczeń serwerowni muszą być możliwe do wykazania. Bardzo często opis zabezpieczeń lub sposobów ich eksploatacji przybiera postać dokumentu informatycznego. Pewnych wskazówek w tym zakresie dostarczają przepisy nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, które zawierało – w czasach przed rodo, co jednak nie wpływa na ich aktualność – wskazówki dotyczące zapewnienia w zakresie:

 

  • zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b rodo);
  • zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 32 ust. 1 lit. c rodo);
  • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d rodo).

 

Uchylone rozporządzenie nakazywało zawarcie w instrukcji zarządzania systemem informatycznym między innymi:

 

  • procedur tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposobu, miejsca i okresu przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposobu zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
  • procedur wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.


> Konstrukcja pomieszczeń i system kontroli


Bardziej szczegółowe wskazówki w zakresie wymagań prawnych dotyczących pomieszczeń serwerowni zawierają przepisy wykonawcze do ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo wskazuje między innymi, że podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo, które wykonują czynności związane z realizacją obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, są obowiązane stosować następujące zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka, w tym co najmniej:

 

  • ściany i stropy pomieszczenia lub zespołu pomieszczeń, w których będą świadczone usługi z zakresu cyberbezpieczeństwa, powinny mieć klasę odporności ogniowej co najmniej EI 60, określoną w Polskiej Normie PN-EN 13501, a budynek, w którym będą świadczone usługi z zakresu cyberbezpieczeństwa, powinien mieć klasę odporności pożarowej nie niższą niż klasa B, określoną w przepisach wydanych na podstawie art. 7 ust. 2 pkt 1 ustawy z dnia 7 lipca 1994 r. – Prawo budowlane (DzU z 2019 r., poz. 1186 ze zm.);
  • drzwi do pomieszczenia lub zespołu pomieszczeń spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, wyposażone w zamek spełniający co najmniej wymagania klasy 4 określone w Polskiej Normie PN-EN 12209, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń;
  • konstrukcję pomieszczenia lub zespołu pomieszczeń zapewniającą odporność na próbę nieuprawnionego dostępu;
  • okna spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich niesie nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń;
  • szafy o podwyższonej odporności ognio­wej, zabezpieczające przed próbami włamań oraz pożarami, odpowiednio do wartości danych oraz ewentualnych innych zagrożeń na podstawie przeprowadzonego szacowanego ryzyka, służące do przechowywania dokumentacji papierowej oraz informatycznych nośników danych mających istotne znaczenie dla prowadzonej działalności;
  • system kontroli dostępu obejmujący wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych oraz rejestrujący zdarzenia;
  • stały nadzór osoby uprawnionej nad osobami niewykonującymi czynności związanych z realizacją obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, przebywającymi w pomieszczeniu lub zespole pomieszczeń, w których wykonywane są te czynności;
  • system sygnalizacji napadu i włamania spełniający co najmniej wymagania systemu stopnia 2 określone w Polskiej Normie PN-EN 50131-1, stale monitorowany przez personel bezpieczeństwa oraz wyposażony w rezerwowe źródło zasilania i obejmujący ochroną wejścia i wyjścia kontrolowanego obszaru oraz sygnalizujący co najmniej: otwarcie drzwi, okien i innych zamknięć chronionego obszaru, poruszanie się w chronionym obszarze, stan systemu, w tym generujący ostrzeżenia i alarmy;
  • system sygnalizacji pożarowej obejmujący urządzenia sygnalizacyjno-alarmowe, służące do samoczynnego wykrywania i przekazywania informacji o pożarze, a także urządzenia odbiorcze alarmów pożarowych i urządzenia odbiorcze sygnałów uszkodzeniowych, przy czym obiekty wyposażone w stałe urządzenia gaśnicze i objęte całodobowym nadzorem co najmniej jednej osoby nie muszą być wyposażone w system sygnalizacji pożarowej. Wskazana regulacja w pierwszej kolejności dotyczy pomieszczeń podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Niemniej wśród takich pomieszczeń mogą znaleźć się także serwerownie, a ponadto można je wykorzystać jak wskazówkę przy zabezpieczaniu serwerowni.

 

W pozostałym zakresie warto zwrócić uwagę na możliwość zastosowania choćby przepisów kodeksu pracy. W zakresie stosowanych zabezpieczeń art. 22 § 2 kp, który dopuszcza przetwarzanie danych biometrycznych pracownika wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Wydaje się nie budzić wątpliwości, że pomieszczenia serwerowni mieszczą się w pojęciu „pomieszczeń wymagających szczególnej ochrony”. Natomiast w przypadku stosowania automatycznych systemów kontroli dostępu do serwerowni czy też czytnika linii papilarnych należy wziąć pod uwagę wymagania dotyczące innych form monitoringu opisanych w art. 22 § 4 kp. Wymaga to jednak spełnienia szeregu obowiązków zapewniających legalizację monitoringu, w szczególności w zakresie:

 

  • poinformowania o celach, zakresie i sposobach monitoringu pracownika przy użyciu kontroli dostępu w układzie zbiorowym pracy lub regulaminie pracy, a w przypadku ich braku – w formie obwieszczenia;
  • wprowadzenia możliwości stosowania monitoringu pracownika przy użyciu kontroli dostępu dopiero po upływie dwóch tygodni od poinformowania o nim pracowników w sposób zwyczajowo przyjęty u danego pracodawcy;
  • poinformowania pracownika na piśmie o monitoringu przy użyciu kontroli dostępu przed dopuszczeniem go do pracy wraz z umieszczeniem potwierdzenia poinformowania pracownika o celu, zakresie oraz sposobie zastosowania monitoringu w aktach pracowniczych;
  • stosowania oznaczeń o monitoringu pracownika przy użyciu kontroli dostępu;
  • wypełnienia obowiązków informacyjnych w sposób zgodny z art. 12 i 13 rodo.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca; autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"