Polityka bezpieczeństwa informacji

W uproszczeniu mówiąc Polityka Bezpieczeństwa informacji to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych. Co powinien zawierać wzór dokumentu? Jakie są jego elementy?

Polityka bezpieczeństwa informacji

Informacja to jeden z najważniejszych zasobów przedsiębiorstwa. Żeby zrozumieć jak ważny, warto wiedzieć, że przez informację rozumiemy wszelkiego rodzaju treści wyrażone za pomocą mowy, pisma, obrazu, rysunku, kodu, dźwięku itd. Jednym słowem informacja to wszelkie dane przechowywane w firmie na różnego rodzaju nośnikach. Nic dziwnego, że firmy przykładają ogromną wagę do rzetelnie opracowanej polityki bezpieczeństwa informacji, której przestrzeganie wymaga wprowadzenia odpowiednich procedur oraz zapewnienia bezpieczeństwa systemów informacyjnych.

Sprawdź też:

• Bezpieczeństwo danych w firmie
• Stosuj taktykę Defense in Depth! To najskuteczniejszy sposób obrony przed cyberatakami
• Przestępczość komputerowa

Właściwie możemy przyjąć, że każda informacja w firmie czy instytucji powinna być chroniona. Z różnych względów! Część danych, takich jak bussines plany, informacje finansowe, plany inwestycyjne itd. podlegają ochronie przez wzgląd na interes danej firmy. Inne dane są chronione ze względu na określone przepisy prawa. Pozostałe informacje, mimo iż prawo tego nie wymaga, a ich wyciek nie stanowiłby zagrożenia dla firmy, są chronione przez zniszczeniem czy też niepożądanym modyfikowaniem, które mogłyby zakłócić pracę danej firmy. Nic więc dziwnego, że zarówno mniejsze, jak i większe przedsiębiorstwa kładą tak duży nacisk na opracowanie Polityki bezpieczeństwa informacji oraz przestrzeganie jej.

Jak czytamy w opracowaniu „Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności”:

Celem działań w zakresie ochrony i zapewnienia bezpieczeństwa informacji w instytucji jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

• zagwarantuje zachowanie poufności informacji chronionych;
• zapewni integralność informacji chronionych i jawnych oraz dostępność do nich;
• zagwarantuje wymagany poziom bezpieczeństwa przetwarzanych informacji;
• maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji;
• zapewni poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji;
• zapewni gotowość do podejmowania działań w sytuacjach kryzysowych.

Polityka bezpieczeństwa informacji: wzór

Przejdźmy do konkretów i stwórzmy ogólny wzór tego, co powinna zawierać Polityka bezpieczeństwa informacji. W tym celu przyjrzymy się uchylonemu już  Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku. Mimo, iż rozporządzenie nie obowiązuje, zapisy w nim zawarte mogą być wskazówką dla przedsiębiorców, którzy chcą dostosować Politykę bezpieczeństwa informacji w swojej firmie do opisanych w nim wymogów. Stworzony w ten sposób dokument będzie stanowił solidny argument podczas ewentualnej kontroli firmy pod kątem spełniania wymagań RODO.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku ten szczegółowo określało:

• wszystkie elementy składające się na sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne, które należy przedsięwziąć, by skutecznie chronić dane w organizacji. Dokumentacja ta musi mieć formę pisemną. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
• podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
• wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Co powinna zawierać polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji to zbiór dokumentów opisujących zasady, które mają zapewnić bezpieczeństwo danych oraz metody ich stosowania. Wszystkie te dokumenty powinny być zgodne z obowiązującym prawem oraz określać warunki, jakie muszą spełniać systemy informatyczne i system przechowywania dokumentów papierowych, przy czym informacje są podzielone na kilka grup. Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji Polityka bezpieczeństwa informacji powinna zawierać:

• wykaz pomieszczeń i budynków, w których są przetwarzane dane osobowe
• opis sposoby, w jaki dane są przetwarzane między systemami
• wykaz programów używanych do przetwarzania informacji
• zestawienie zbiorów danych
• opis budowy zbiorów danych
• określenie środków, które są niezbędne dla zachowania integralności, rozliczalności i poufności danych

Co powinna zawierać instrukcja zarządzania systemem informatycznym?

Zgodnie z rozporządzeniem z dnia 29 kwietnia 2004 roku instrukcja zarządzania systemem informatycznym powinna zawierać:

1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania:
   a) elektronicznych nośników informacji zawierających dane osobowe,
   b) kopii zapasowych, o których mowa w pkt 4,
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Poziomy bezpieczeństwa w firmie

Ze względu na poziom zagrożenia związany z wyciekiem poszczególnego rodzaju danych prawodawca wprowadził trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

• podstawowy poziom bezpieczeństwa, który stosuje się wtedy, gdy żadne z urządzeń służących do przetwarzania tych danych nie jest połączone z siecią publiczną lub też kiedy nie są przetwarzane dane wrażliwe określone w art. 27 Ustawy o ochronie danych osobowych;
• podwyższony poziom bezpieczeństwa, który wprowadza się wówczas, gdy w systemie przetwarzane są dane wrażliwe, ale żadne urządzenie nie jest połączone z siecią publiczną;
• wysoki poziom bezpieczeństwa stosowany wtedy, gdy przynajmniej jedno urządzenie w systemie informatycznym służacym do przetwarzania danych osobowych połączone jest z siecią publiczną.

Warto w tym miejscu wspomnieć dodatkowo, co uznaje się za dane wrażliwe. Otóż są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest dopuszczalne w kilku określonych w ustawie przypadkach, m.in. wtedy, gdy osoba, której te dane dotyczą wyrazi pisemną zgodę na ich przetwarzanie.

Systemy służące do przetwarzania danych powinny każdorazowo automatycznie odnotowywać:

• daty pierwszego wprowadzenia danych do systemu;
• identyfikator użytkownika wprowadzającego dane osobowe do systemu. Wyjątkiem jest sytuacja, gdy dostęp do tego systemu posiada tylko jedna osoba;
• źródło danych, jeśli nie pochodzą one bezpośrednio od osoby, której dotyczą;
• informację o odbiorcach, którym dane osobowe zostały udostępnione, a także o dacie i zakresie tego udostępnienia. Odstępstwem od zasady jest umieszczenie danych w zbiorach jawnych;
• sprzeciw wobec przetwarzania danych lub przekazywania ich innym administratorom danych.

Co więcej każda osoba, której dane są przechowywane w systemie informatycznym powinna mieć możliwość otrzymania raportu zawierającego powyższe informacje.

Polityka bezpieczeństwa informacji a rodo

Jak się ma kwestia Polityki bezpieczeństwa informacji w odniesieniu do wprowadzonego 25 maja 2018 RODO? Czy Polityka bezpieczeństwa powinna być zgodna z RODO? Okazuje się, że odpowiedź na to pytanie trudno podeprzeć konkretnymi paragrafami ustaw.

Zobacz też: Co to jest RODO i jakie ma znaczenie dla działu IT firmy?

Artykuł 24 RODO wśród obowiązków administratora danych osobowych wskazuje wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych osobowych z rozporządzeniem oraz zapewnienie możliwości jej wykazania. W dalszej części ustawy mowa jest o tym, że jeśli sposób przetwarzania danych tego wymaga, administrator jest zobowiązany wprowadzić odpowiednie środki polityki ochrony danych. Nie jest to obowiązek formalny, jednak jak pokazuje praktyka w razie kontroli z Urzędu Ochrony Danych Osobowych każdy przedsiębiorca musi być w stanie udowodnić, że zapewnił skuteczną ochronę danych osobowych wdrażając właściwe środki techniczne i organizacyjne. I w tym momencie przedstawienie organowi nadzorczemu prawidłowo przygotowanej Polityki bezpieczeństwa informacji będzie bardzo dobrze widziane.

Zgodna z zasadami RODO Polityka bezpieczeństwa informacji powinna opierać się na czterech filarach:

• zgodności z zasadą privacy by design – uwzględniania ochrony danych w fazie projektowania tj. wyboru technologii, dostawcy oraz zaplanowania procesu przetwarzania tak, by już na tym etapie wdrożyć środki techniczne i organizacyjne współmierne do ryzyka naruszenia praw i wolności osób, których dane są objete przetwarzaniem.
• zgodności z zasadą privacy by default – która określa, że administrator danych powinen wdrożyć środki techniczne i organizacyje, które pozwolą na przetwarzanie jedynie tych danych, które są absolutnie niezbędne danej organizacji. Podanie dodatkowych danych jest zależne od osoby, której one dotyczą i nie może decydować o braku np. dostarczenia usługi.
• proporcjonalności w stosunku do czynności przetwarzania danych,
• przejrzystości języka, jakim zostanie napisana tak, by był on zrozumiały dla odbiorców nawet wtedy, gdy opisuje zawiłe sformułowania prawne czy dotyczące systemów informatycznych

Uniwersalny wzór Polityki bezpieczeństwa informacji

Biorąc pod uwagę wymogi RODO i konieczność dostosowania sposobu oraz zakresu przetwarzania danych do konkretnej instytucji, trudno o stworzenie jednego, uniwersalnego wzoru takiego dokumentu. Można natomiast wymienić w niej określone elementy:

1. Źródła prawa – po wejściu RODO należy wśród nich wymienić m.in. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych;
2. Cel powstania dokumentu, tj. określenie warunków technicznych, procedur, zasad i warunków organizacyjnych, które zapewniają bezpieczeństwo przetwarzania danych;
3. Definicje pojęć stosowanych w Polityce bezpieczeństwa;
4. Zakres odpowiedzialności organizacji w zakresie przetwarzania danych;
5. Opis procesu gromadzenia danych oraz dokumentowania i przechowywania zgód na przetwarzanie danych osobowych;
6. Prawa osób, których dane dotyczą;
7. Opis środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności i integralności danych;
8. Opis sposobu reagowania w przypadku niepożądanych zdarzeń związanych z przetwarzaniem danych;
9. Informacja o audytach systemów IT;
10. Załączniki;
11. Podsumowanie zawierające charakterystykę dostosowania Polityki bezpieczeństwa informacji do potrzeb konkretnej firmy czy organizacji.

Stworzenie Polityki bezpieczeństwa informacji, choć nieobowiązkowe w świetle aktualnych przepisów, będzie solidnym dowodem na to, iż przedsiębiorstwo dba o bezpieczeństwo danych w razie kontroli z Urzędu Ochrony Danych Osobowych.

Zobacz: Audyt informatyczny dla firm – oferta

---

Źródła:
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych http://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20041001024
„Polityka bezpieczeństwa danych osobowych” Zespół LexDigital https://lexdigital.pl/polityka-bezpieczenstwa-danych-osobowych-rodo
„Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności – Państwowego Instytutu Badawczego”  Ołtarzewska A., Kowalewski M.
„Bezpieczeństwo systemów informatycznych zarządzania” Warszawa, BELLONA, 2003, Barczak A., Sydoruk T
„Podstawy bezpieczeństwa systemów teleinformatycznych” Gliwice, Wydawnictwo: Pracownia komputerowa Jacka Skalmierskiego, 2002, Białas A
„Bezpieczeństwo sieci. Biblia” Warszawa, Helion, 2005, Cole E., Krutz R. L., Conley J.
„Tworzenie bezpiecznych sieci” Warszawa, Mikom, 2000, Kaeo M.
„Polityka bezpieczeństwa i ochrony informacji” Gliwice, Helion, 1999, Kifner T.
„Aspekty bezpieczeństwa systemów teleinformatycznych” Warszawa, Instytut Łączności, 2005, Kowalewski M. i in.
„Elementarz bezpieczeństwa systemów informatycznych” Warszawa, Mikom, 2002, Molski M., Opala S.
„Bezpieczeństwo danych w systemach informatycznych” Warszawa-Poznań, PWN, 2001, Stokłosa J., Bilski T., Dankowski T.
„Podstawy bezpieczeństwa sieci” Warszawa, Mikom, 2005, Strebe M.