Poziomy bezpieczeństwa - ochrona danych osobowych
Rozporządzenie MSWiA jasno określa kiedy i jakie powinniśmy stosować zabezpieczenia względem naszego zbioru danych osobowych w zależności od tego jaką mamy architekturę systemu informatycznego. Poziom podstawowy Poziom podwyższony Poziom wysoki (dotyczy między innymi sfery internetowej).
Rozporządzanie MSWiA określa jakie poziomy bezpieczeństwa infrastruktury informatycznej należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.
Wyróżniamy następujące poziomy bezpieczeństwa:
- poziom bezpieczeństwa podstawowy;
- poziom bezpieczeństwa podwyższony;
- poziom bezpieczeństwa wysoki.
W polityce bezpieczeństwa powinny znaleźć się wszystkie niżej wymienione opisy, tak aby spełnić wymogi ustawy o Ochronie Danych Osobowych i wymogi Rozporządzeń MSWiA.
Poziom podstawowy
Aby określić, czy nasz zbiór danych musi być zabezpieczony na poziomie podstawowym muszą być spełnione obydwa warunki:
Warunek 1 — jakie dane osobowe są przetwarzane ?
Jeżeli w zbiorze danych osobowych nie są przetwarzane dane określające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne, przekonania religijne lub filozoficzne,
- przynależność wyznaniową, partyjną lub związkową,
- dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
- dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
wówczas jest spełniony jeden z warunków klasyfikujących zabezpieczenie zbioru danych osobowych na poziomie podstawowym.
Warunek 2 — dostęp do urządzeń z zewnątrz — z sieci Internet
Żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Jeżeli są spełnione oba warunki wówczas zbiór może być zabezpieczony na poziomie podstawowym.
Co to oznacza?
Wymagania zabezpieczeń zbioru danych osobowych — poziom podstawowy
Jeżeli spełniamy oba wyżej wymienione warunki musimy zabezpieczyć zbiór danych osobowych przestrzegając między innymi następujących zasad:
- Pomieszczenia, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
- W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
- System informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
- W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
- Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
- Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa się niezwłocznie po ustaniu ich użyteczności.
- Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza pomieszczeniami wykazanymi w polityce bezpieczeństwa.
- Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe:
- przeznaczone do likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie
- przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu danych, w sposób uniemożliwiający ich odzyskanie;
- naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
- Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego
Powyższe wymagania są najważniejszymi, które należy spełnić.
Poziom podwyższony
Poziom podwyższony stosuje się w przypadku, gdy wyżej opisany warunek 1 nie jest spełniony. W tym przypadku warunek 2 powinien być spełniony, czyli do systemu informatycznego nie ma dostępu z zewnątrz — z sieci publicznej.
Wymagania zabezpieczeń zbioru danych osobowych — poziom podwyższony
W tym przypadku obowiązują wszystkie wymagania jak na poziomie podstawowym z następującymi zmianami:
- W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
- Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar pomieszczeń, w których się je przetwarza, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.
Poziom wysoki
Poziom wysoki stosuje się zawsze gdy warunek 2 nie jest spełniony, tzn. gdy chociaż jedno urządzenie systemu informatycznego jest połączone z siecią publiczną, czyli z Internetem.
zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniomJeżeli szukasz wsparcia prawnego swojego e-biznesu
Wymagania zabezpieczeń zbioru danych osobowych — poziom wysoki
W tym przypadku obowiązują wszystkie wymagania jak na poziomie podwyższonym z następującymi zmianami:
- System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
- W przypadku zastosowania logicznych zabezpieczeń, o których mowa, obejmują one:
- kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
- Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.