Środki techniczne oraz organizacyjne
Administrator oraz podmiot przetwarzający mają obowiązek zapewnić bezpieczeństwo przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, przed oraz w trakcie przetwarzania. Środki techniczne mogą mieć charakter materialny, odnoszący się do pomieszczeń, gdzie przetwarzane są dane, oraz charakter informatyczny, w przypadku przetwarzania za pomocą systemów informatycznych. Środki organizacyjne mogą dotyczyć wewnętrznych norm prawnych oraz polityk bezpieczeństwa.
Podmioty te posiadają swobodę w wyborze środków technicznych i organizacyjnych, ponosząc jednocześnie odpowiedzialność za dokonany wybór. Przy dokonaniu wyboru podmioty te powinny uwzględniać zarówno uwarunkowania przetwarzania, jak i rodzaje ryzyka związanego z przetwarzaniem. Do uwarunkowań przetwarzania, wpływających na wybór środków, należą: stopień bezpieczeństwa względem naruszenia praw i wolności osób fizycznych, stan wiedzy technicznej, koszt wdrożenia tych środków, a także cechy przetwarzania, takie jak jego charakter, zakres, kontekst i cele. Ryzykiem warunkującym wybór jest przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja, nieuprawnione ujawnienie lub nieuprawniony dostęp do przetwarzanych danych osobowych.
Wprowadzone środki techniczne w celu zapewnienia odpowiednich zabezpieczeń, które mają wpływ na proces przetwarzania danych:[1]
- dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
- zmiana haseł nie rzadziej niż co 30 dni;
- zastosowanie programów antywirusowych i innych regularnie aktualizowanych narzędzi ochrony;
- system Firewall;
- wygaszacze ekranów;
- automatyczna blokada dostępu do systemu w przypadku dłuższej nieaktywności pracy użytkownika;
- systematyczne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych;
- stosowanie indywidualnych haseł logowania do poszczególnych programów;
- zastosowanie właściwej budowy hasła
Wprowadzone środki organizacyjne w celu stworzenia właściwych zabezpieczeń, które wpływają na procesy przetwarzania danych są następujące:[2]
- Przetwarzanie danych osobowych może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres uprawnień wynika z zakresu tych zadań.
- Każdy pracownik administracji posiada wyznaczone dla siebie stanowisko komputerowe, co zmniejsza ryzyko naruszenia integralności danych osobowych.
- Pracownicy pracujący na jednym stanowisku komputerowym posiadają osobne konta użytkownika do komputera.
- Oznakowanie obszaru pracy
- Procedury i instrukcje pracy (transport wewnętrzny i zewnętrzny, postępowanie z odpadami i zużytym sprzętem, przechowywanie materiału biologicznego, pobieranie próbek)
- Stanowiskowe instrukcje pracy (obsługa sprzętu)
- Instrukcje postępowania awaryjnego uwzględniające wszystkie możliwe drogi narażenia (rozlanie, wyciek, rozprysk, skaleczenie)
- Polityka czystego biurka
Środki ochrony w ramach narzędzi programowych i baz danych
Środki ochrony narzędzi programowych
- Dostęp do systemów teleinformatycznych posiadają tylko upoważnieni użytkownicy.
- Nadawanie uprawnień oraz uwierzytelnienie użytkowników jest zgodne z rozporządzeniem.
- Stosowana jest ochrona kryptograficzna danych przesyłanych drogą teleinformatyczną.
- Zastosowane są rozwiązania chroniące systemy informatyczne przed skutkami awarii zasilania elektrycznego.
- W celu ochrony przed złośliwym oprogramowaniem stosowane są programy antywirusowe.
- W celu ochrony przed dostępem nieupoważnionych osób do danych osobowych drogą teleinformatyczną stosowany jest system firewall.
- Wszystkie dane osobowe przetwarzane są w macierzach dyskowych RAID np. 1, 5, 10 zabezpieczających przed skutkami awarii pamięci masowej.
- W przypadku awarii dysku zawierającego dane osobowe, dane są kasowane przy pomocy programów zamazujących dane, przed jego przekazaniem do naprawy. Jeżeli naprawa dysku jest niemożliwa, po logicznym usunięciu danych jest on niszczony fizycznie. W zakresie nieuregulowanym w niniejszym dokumencie zastosowanie znajdują przepisy Ustawy, Rozporządzenia oraz inne przepisy prawa.
Zbiory danych osobowych przetwarzane są przy użyciu komputera stacjonarnego i przenośnego . Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową. Stosowane są urządzenia typu UPS, i wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania. Dostęp do zbiorów danych osobowych, które przetwarzane są na wydzielonej stacji komputerowej i komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. Systemowe mechanizmy wymuszają okresową zmianę haseł.
Środki kryptograficznej ochrony danych dla danych osobowych przekazywane drogą teletransmisji. Dostęp do środków teletransmisji zabezpiecza się za pomocą mechanizmów uwierzytelnienia. Stosuję się środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. Możliwie używa się system Firewall do ochrony dostępu do sieci komputerowej.
Środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej
Zagadnienie dotyczące środków sprzętowych, infrastruktury informatycznej i telekomunikacyjnej to tak naprawdę wszystkie działania systemowe, które zostały wprowadzone, na przykład w danym przedsiębiorstwie, by za ich pomocą móc zabezpieczyć dane przed przejęciem ich jej przez osoby trzecie. W związku z tym powinien zostać spełniony szereg różnorodnych procedur. Administrator danych musi poinformować osoby, których dane dotyczą, jakich środków użył, aby zadbać o ich bezpieczne przechowywanie.
Pierwszym krokiem jest określenie sieci komputerowej, do której podłączone są komputery, mające możliwość przetwarzania danych osobowych. Istotną kwestią jest więc stwierdzenie, czy dany sprzęt podłączony jest do lokalnej sieci komputerowej (LAN – local area network) na określonym obszarze, na przykład biura. Administrator informuje więc odbiorców o tym, czy komputery są czy nie są połączone z lokalną siecią komputerową[3]. Kolejną informacją jest to, gdzie przetwarzane są dane osobowe. Może być to wydzielona stacja komputerowa, ale też przenośna. Oba z tych wariantów mimo wszystko wymagają zabezpieczenia w postaci hasła, które ma za zadanie uchronienie przed nieautoryzowanym uruchomieniem.
W razie awarii zasilania, ważne jest, by istniał szereg zabezpieczeń, które są w stanie uchronić dane przed jej skutkami. Może być to na przykład osobna wydzielona sieć elektroenergetyczna, która ochroni system informacyjny służący do przetwarzania danych osobowych, lub zasilacz awaryjny (inaczej zasilacz UPS - uninterruptible power supply), posiadający akumulator, na pracę którego przełącza się, gdy nastąpią problemy z dostawą energii elektrycznej[4].
Możliwa jest też awaria pamięci dyskowej, w związku z czym należy zabezpieczyć się także przed taką ewentualnością i zastosować macierz dyskową, by w razie problemów móc ochronić dane. W związku z tym tworzone są backupy, czyli kopie zapasowe danych. Rozwiązanie to, według RODO, nie jest wymagane, ale zalecane. Bardzo ważne jest, by po okresie przechowywania lub po zrealizowaniu celu, trwale te dane usunąć. Administrator powinien przygotować procedurę, określającą tworzenie kopii zapasowych[5].
By uzyskać dostęp do system operacyjnego komputera przetwarzającego dane osobowe, powinien zostać wprowadzony system uwierzytelniania użytkownika. Wykorzystuje się do tego identyfikator użytkownika oraz hasło, którego zmiana powinna być okresowo wymuszana przez systemowe mechanizmy. Dodatkowo, istnieją też pewne wytyczne dotyczące wprowadzania nowego hasła, na przykład nie może być ono takie samo jak nazwa użytkownika, musi posiadać jedną wielką literę, jedną małą literę, jedną cyfrę i jeden znak specjalny.
Każda osoba powinna otrzymać odpowiednie uprawnienia, jednak istnieje zagrożenie, polegające na niewłaściwym obchodzeniem się z owym hasłem. Zauważalne jest to na przykład w zapisywaniu go w okolicy komputera, lub podczas przekazywania go innym pracownikom na wypadek nieobecności. Dlatego też tak ważna jest regularna zmiana haseł, na przykład w okresie kwartalnym. Bardzo popularne jest też dwuetapowe uwierzytelnianie hasła, czyli przy każdym logowaniu lub jego zmianie, należy potwierdzić dane działanie na innej platformie lub za pomocą innego urządzenia[6].
Również teletransmisja, przez którą przekazywane są dane osobowe, powinna być zabezpieczona mechanizmami uwierzytelniania, a także szyfrowana. Wszystkie pliki powinny być zabezpieczone hasłem, które odbiorca powinien otrzymać jakąś dodatkową ścieżką – czyli nie na przykład poprzez e-mail, ale telefonicznie, tokenem lub za pomocą wiadomości SMS.
Jako że komputery podłączone do sieci lokalnej, mogą łączyć się z Internetem, zawsze istnieje ryzyko ściągnięcia przypadkowo szkodliwych oprogramowań, takich jak na przykład robaki, wirusy, konie trojańskie, rootkity itd. W związku z tym należy poinformować odbiorców o zastosowaniu środków ochrony, czyli na przykład programów antywirusowych na każdej stacji roboczej.
Najbardziej ryzykowne jest wypłynięcie danych poprzez porty USB, służbową pocztę e-mailową i prywatne konta pocztowe pracowników. Niekiedy związane jest to właśnie ze wspomnianymi wyżej szkodliwymi oprogramowaniami, ale też poprzez tworzenie nieautoryzowanych kopii. W związku z tym, administrator powinien zastosować odpowiednie środki, by zablokować takie działania, a co za tym idzie – zmniejszyć prawdopodobieństwo tego typu wycieków danych[7].
By uchronić dane przed dostępem z sieci publicznej, niezbędne jest stworzenie zapory sieciowej (Firewall). Określa to nawet RODO: System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Istnieje wiele rodzajów zapór, ale mogą to być na przykład zapory filtrujące, translacja adresów sieciowych, czyli zmiana IP, zapory pośredniczące (proxy).
Środki ochrony fizycznej danych
Po omówieniu kwestii środków ochrony w ramach narzędzi i baz danych, oraz środków sprzętowych, infrastruktury informatycznej i telekomunikacyjnej, należy zgłębić wątek środków ochrony fizycznej danych. Polegają one na fizycznym uniemożliwieniu osobom nieuprawnionym dostania się w posiadanie danych w sytuacji kradzieży, wandalizmu, ataku terrorystycznego, lub ochronie dokumentów przed sytuacjami losowymi, takimi jak na przykład pożar albo powódź.
Pierwszą kwestią, na którą należy zwrócić uwagę podczas wprowadzania takich środków ochrony fizycznej, jest określenie obszaru przechowywania danych i wprowadzenie odpowiednich działań proporcjonalnych do wymaganego poziomu zabezpieczenia. Istnieje kilka poziomów tajności przechowywanych danych. Mogą być one zastrzeżona, poufne, tajne, ściśle tajne. Działania w kwestii ich ochrony dzielą się na zabezpieczenia pasywne (na przykład ogrodzenia lub sejfy), a także zabezpieczenia aktywne (na przykład monitoring, systemy antywłamaniowe, systemy gaśnicze)[8].
Pierwszym używanym środkiem mogą być bariery fizyczne, czyli wszystkie blokady, które nieumożliwianą dostanie się do posiadania danych osobom postronnym. Należą do nich przede wszystkim osobne pomieszczenia, które odgrodzone są ścianami oraz drzwiami zamykanymi na klucz i tylko upoważnione osoby mogą wejść w jego posiadanie. By zapobiec wykradzeniu dokumentów, tego typu pomieszczenia mogą być wyposażone w antywłamaniowy system alarmowy, a w oknach znajdować mogą się rolety antywłamaniowe. Wcześniej wspomniane drzwi, najczęściej charakteryzują się podwyższoną ochroną na włamania. Tak samo niezwykle istotnym środkiem jest zabezpieczenie danych przed przypadkami losowymi, na przykład przed pożarem. W związku z tym chroni się je za pomocą systemu przeciwpożarowego lub wolnostojącej lub wiszącej gaśnicy[9].
Kolejną ważną kwestią jest personel bezpieczeństwa. Mianowicie, są to osoby odpowiednio przeszkolone a ich poczynania niekiedy mogą być nadzorowane. W razie konieczności są upoważnione do wglądu do przechowywanych danych. Do takiego pomieszczenia nie mają dostępu osoby postronne, a w razie nieobecności pracowników mających takie pozwolenia, odpowiedzialność spoczywa na zatrudnionych na stanowisku ochrony, w których obowiązku jest sprawowanie nadzoru dostępu do danego pomieszczenia przez całą dobę. Powinni prowadzić oni system kontroli wejść i wyjść, na przykład w specjalnie przygotowanym do tego notatniku. Możliwe jest też stosowanie systemu kontroli dostępu, na nadawany jest jedynie upoważnionym do tego osobom. Częstym środkiem ochrony fizycznej danych jest również system monitoringu z zastosowaniem kamer. Na bieżąco zapisy z monitoringu przeglądane są przez pracowników ochrony, oraz przetrzymywane przez określony czas na serwerze, z możliwością późniejszego wglądu, najczęściej po określonym terminie te zapisy są automatycznie usuwane. Oczywiście, istnieją też już bardziej rozwinięte technologicznie sposoby, by móc na bieżąco kontrolować identyfikację osób upoważnionych. Oprócz kart wejściowych, mogą być to czytniki linii papilarnych, czytniki tęczówki oka, czy nawet dzielenie się własną próbką DNA. Nie są to jednak metody powszechne, tylko stosowane jedynie w miejscach, gdzie znajdują się informacje ściśle tajne i nie są one dostępne dla zwykłego śmiertelnika[10].
Natomiast w miejscach o normalnym dostępie, najprostszym rozwiązaniem jest przechowywanie danych osobowych w formie papierowej w metalowej lub niemetalowej szafce zamykanej na klucz, to samo dotyczy kopii zapasowych owych dokumentów lub ich wersji archiwalnych. Jest to metoda często stosowana w ogólnodostępnym openspace. Gdy skończy się przydatność tych danych, powinny one zostać zniszczone mechanicznie, za pomocą niszczarki do dokumentów. Następnie muszą zostać przekazane do zniszczenia profesjonalnym firmom się tym zajmującym, a tam niszczone są przez specjalnie do tego stworzone niszczarki przemysłowe. Jeśli chodzi o dyski, nośniki danych lub inne nośniki, najpierw należy usunąć z nich ich zapis. Natomiast, jeśli nie jest to możliwe, trzeba odpowiednio uszkodzić plik tak, aby nie istniała możliwość jego odczytania.
[1] Art. 38 Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.
[2] Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100 poz. 1024)
[3] Encyclopedia.com, Local Area Network (LAN), https://www.encyclopedia.com/science-and-technology/computers-and-electrical-engineering/computers-and-computing/local-area-network (dostęp 02.07.2020)
[4] John E. Canavan, Fundamentals of network security, Boston, Artech House, 2001.
[5] K. Ingham, A History and Survey of Network Firewalls, 25 listopada 2011.
[6] Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402, ze zm.)
[7]Chmura bezpieczna i elastyczna, MITSloan Management Review Polska, nr 1, 12 czerwca 2019, https://mitsmr.pl/a/chmura-bezpieczna-i-elastyczna/DEKgAUQ9 (dostęp 02.07.2020).
[8] Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U. 2010 nr 182 poz. 1228).
[9] Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.745).
[10] J.Andress, The basics of information secutiry. Understanding the fundamentals of InfoSec in theory and practice, Syngress, 2011, s.23-31.