Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Bezpieczeństwo danych po wdrożeniu RODO

Data publikacji: 29-08-2018 Autor: Tomasz Cygan

Minęły trzy miesiące od dnia, w którym miało się zmienić wszystko lub prawie wszystko, jeśli chodzi o ochronę danych osobowych. Co ciekawe, okazało się, że wiele problemów można rozpatrywać wspólnie dla sporej grupy administratorów, przy czym nie ma znaczenia, czym dany administrator się zajmuje ani jakie dane przetwarza. Decydujące jest, z jakich korzysta rozwiązań i narzędzi do przetwarzania danych osobowych.

25  maja 2018 roku rozpoczął się okres stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo, i każdy użytkownik internetu przekonał się, że najważniejszą sprawą „w świecie rodo” jest klauzula informacyjna.

Przychodziły one w dziesiątkach maili, wyświetlały się przy prawie każdej wizycie na stronie internetowej. Na niektórych stronach internetowych zresztą komunikaty związane z rodo zostały ustawione na stałe. W wydaniu medialnym rodo zaczęło być przedstawiane czasem w krzywym zwierciadle – jako puenta opowieści o zamknięciu cmentarza czy wątpliwościach co do sposobu wyczytywania uczniów (po nazwisku czy lepiej po numerze). Czasem też jako zagrożenie opisywanie kroplówek numerem zamiast nazwiskiem i ryzyko mogące z tego zdarzenia wynikać lub odmawianie informacji o miejscu przebywania dzieci po wypadkach. W tym wszystkim umknęło jednak, że rodo dla wielu organizacji stało się okazją do przejrzenia i doskonalenia rozwiązań z zakresu bezpieczeństwa. Dla wielu z nich rodo wcale nie było niezbędne, jako argument do wdrożenia lub aktualizacji rozwiązań z zakresu bezpieczeństwa IT, natomiast, jak się okazało, rodo, a przede wszystkim wysokość kar pieniężnych były katalizatorem dla zmian. Co istotne, duże znaczenie w tych procesach odgrywała analiza ryzyka związana z przetwarzaniem danych osobowych, która, choć nie jest zagadnieniem nowym, dała namacalny argument dla poszukiwania i doskonalenia systemów bezpieczeństwa, zarówno w zakresie danych przetwarzanych w formie papierowej, jak dla tych w systemach informatycznych.

> POZORNE POCZUCIE BEZPIECZEŃSTWA

Rozpocznę jednak od sytuacji anegdotycznej, której niedawno byłem świadkiem. Dotyczyła ona znanej każdemu, niemalże wyświechtanej „zasady czystego biurka”. Otóż podczas któregoś ze spotkań usłyszałem „twórcze” jej rozwinięcie. Polegało ono na tym, że po zakończonej pracy wszystkie dokumenty są sprzątane ze stanowiska pracy, tak aby osoba postronna nie miała dostępu do danych osobowych oraz innych strategicznych informacji biznesowych. Uprzątnięcie tych dokumentów polegało na tym, że były one przekładane na… parapet. Formalnie zasada czystego biurka była więc realizowana, faktycznie jednak sprowadzała się ona do tworzenia pozorów bezpieczeństwa. Nasze rozważania będą się jednak koncentrowały wokół zagadnień związanych z bezpieczeństwem IT, ale oglądanych oczami prawnika.

Pierwsza uwaga dotyczy występowania, a niekiedy krzyżowania się dwóch podejść do bezpieczeństwa IT. Pierwsze z nich nazwać można bezpieczeństwem intuicyjnym – w organizacji będą występowały jasne i oczywiste zasady bezpieczeństwa, jednak niewiele osób będzie wiedziało, dlaczego należy je stosować. Przykładem może być uzasadnienie stosowania haseł jako środka chroniącego dane przed nieuprawnionym dostępem do stacji roboczej, podczas gdy jego obejście często nie sprawi większych trudności. Dotyczy to zarówno zapisywania haseł na karteczkach typu post-it, niskiej świadomości użytkowników dotyczącej zagrożeń oraz całej gamy prostych sposobów technicznych pozwalających obejść hasło dostępowe do Windows (choćby wyjęcie dysku z jednego komputera i włożenie go do innego komputera). Zdarza się, że hasło do Windowsa utożsamia się z szyfrowaniem danych. Wspomniane drugie podejście do bezpieczeństwa IT można by nazwać bezpieczeństwem formalnym. Bardzo ważny element, pod warunkiem że proces wdrożenia procedur i instrukcji nie kończy się z chwilą ich opublikowania, a później, nie dość że nikt z owych procedur i załączników do nich nie korzysta, to jeszcze nawet nie pamięta, że w ogóle obowiązują one w organizacji. W kontekście rodo za takie podejście można słono zapłacić – zgodnie z art. 33 ust. 5 rodo administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu. Z kolei zgodnie z art. 5 ust. 2 rodo administrator jest odpowiedzialny za przestrzeganie przepisów zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie (tzw. rozliczalność).

 

Co ciekawe, gros wspólnych ryzyk dotyczy stosowania konkretnych urządzeń – w szczególności komputerów przenośnych, telefonów typu smartfon czy urządzeń wielofunkcyjnych. Dotyczy to zarówno sposobu ich wykorzystania, jak i umiejscowienia.

[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"