Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.05.2019

Wzmocniony model

Panasonic Toughbook FZ-N1
23.05.2019

Szybsze sieci

D-Link Smart Mesh Wi-Fi AC1900/AC2600/AC3000
23.05.2019

Curved 4K

Samsung LU32R590
14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX

Zarządzanie różnicą w procedurach IT

Data publikacji: 18-04-2019 Autor: Tomasz Cygan

Zdarza się, że samo miejsce w strukturze organizacyjnej (tzw. wysokie stanowisko) przemawia za wprowadzaniem wyjątków od zasad związanych z odpowiedzialnością, licencjami i procedurami. W takim przypadku rola działu IT sprowadza się do zarządzania różnicą między rozwiązaniami standardowymi a tymi, które powstały w wyniku wprowadzenia zmian. Różnica najczęściej polega na zaimplementowaniu i aktualizowaniu odmiennych (czasem niebezpiecznych) rozwiązań.

 

Dawno temu pojawiło się ciekawe rozwinięcie starej zasady, że najsłabszym elementem każdego systemu bezpieczeństwa jest człowiek. Brzmiało ono: najsłabszym z ludzi w organizacji jest szef. Kolokwialnie rzecz ujmując, mogłoby ono brzmieć: na żadnym komputerze służbowym Facebook, Gadu-Gadu lub inna potencjalnie niebezpieczna i niepotrzebna aplikacja nie jest biznesowo uzasadniona z wyjątkiem komputera szefa (oraz innych uprzywilejowanych osób w hierarchii). To zazwyczaj dla niego czynione są – mniej lub bardziej oficjalne – ustępstwa od zasad bezpieczeństwa, procedur itp. Dobrze, jeśli takie wyjątki znajdują swoje odzwierciedlenie w dokumentacji wewnątrzorganizacyjnej. Gorzej, jeśli dział IT w tym zakresie będzie bazował jedynie na „pamięci organizacji” zawodnej choćby w obliczu rotacji kadr. Prowadzi to bowiem do rozmywania odpowiedzialności i powstania konieczności zarządzania różnicą w zasadach i uprawnieniach. Jedno jest zazwyczaj pewne – winny jest ten, kto zmianę fizycznie wprowadził. A jeśli jej jeszcze nie opisał, to jest tym bardziej winien. Innymi słowy, na końcu z problemem zostaje dział IT.

Sytuacje, w których pewne uprawnienia są nadawane poza oficjalnym, proceduralnym obiegiem lub dochodzi do nieoficjalnego, nieudokumentowanego odstępstwa od zasad bezpieczeństwa informatycznego, mogą generować dodatkowe ryzyko. Co istotne, niejednokrotnie problemem może być też powrót do rozwiązań standardowych po ustaniu uzasadnienia (o ile w ogóle było) dla istnienia różnicy. Przykładem jest „odebranie VPN” po zakończeniu projektu, gdy przestał być potrzebny, lub ograniczenie możliwości wynoszenia sprzętu poza organizację. Skrajnym przykładem (ryzykownym w świetle odpowiedzialności) bywa umożliwienie przełożonym posługiwania się niezalegalizowanym oprogramowaniem szpiegującym pracownika.

> ROZLICZALNOŚĆ ORGANIZACJI

Ogólna zasada powinna brzmieć: odstępstwa od zasad, podobnie jak same zasady, wymagają udokumentowania. Przez lata można było spotkać się z poglądem, że gdy informatyk zostaje wyznaczony na stanowisko ABI (czy obecnie IOD), największym jego przekleństwem jest konieczność tworzenia dokumentacji papierowej i zarządzania nią. Podobną uwagę można poczynić do wszystkich pozycji, które mają w nazwie słowo „administrator”. Immanentną cechą takiego stanowiska jest bowiem zarządzanie czymś. Z kolei to coś, czym zarządzamy, powinno być określone, a biorąc pod uwagę wartość dowodową, najlepiej, gdy ma postać papierową. Koresponduje to z rozumieniem zasady rozliczalności nadanym przez przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo, które w rozdziale II zatytułowanym „Zasady” zawiera katalog zasad dotyczących przetwarzania danych osobowych. Zgodnie z treścią art. 5 rozporządzenia dane osobowe muszą być:

 

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).


Za realizację powyższych obowiązków odpowiedzialny jest administrator danych, który musi być w stanie wykazać ich przestrzeganie („rozliczalność”). W związku z tym rozliczalność w znaczeniu normatywnym przestała być właściwością danych, a stała się obowiązkiem administratora danych, którego wprost obciąża obowiązek udowodnienia zgodności z prawem, rzetelności i przejrzystości przetwarzania danych, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności przetwarzania danych. Co prawda każdy środek dowodowy jest wówczas przydatny, ale w cenie są przede wszystkim te, które są niezaprzeczalne i pewne.

W obszarze informatycznym tożsame rozumienie rozliczalności obciąża dział IT, który powinien być przygotowany na konieczność wykazania przestrzegania zasad bezpieczeństwa informatycznego. To obowiązkiem działu IT jest udział w stworzeniu dokumentacji, a następnie zarządzanie dokumentacją opisującą bezpieczeństwo informatyczne z perspektywy zarówno zasad, jak i wyjątków, aby móc wykazać jej przestrzeganie.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"