Poziomy bezpieczeństwa - ochrona danych osobowych

Rozporządzenie MSWiA jasno określa kiedy i jakie powinniśmy stosować zabezpieczenia względem naszego zbioru danych osobowych w zależności od tego jaką mamy architekturę systemu informatycznego. Poziom podstawowy Poziom podwyższony Poziom wysoki (dotyczy między innymi sfery internetowej).

Poziomy bezpieczeństwa - ochrona danych osobowych
Anna Stępniewska 19 listopada 2012

Rozporządzanie MSWiA określa jakie poziomy bezpieczeństwa infrastruktury informatycznej należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.

Wyróżniamy następujące poziomy bezpieczeństwa:

  • poziom bezpieczeństwa podstawowy;
  • poziom bezpieczeństwa podwyższony;
  • poziom bezpieczeństwa wysoki.

W polityce bezpieczeństwa powinny znaleźć się wszystkie niżej wymienione opisy, tak aby spełnić wymogi ustawy o Ochronie Danych Osobowych i wymogi Rozporządzeń MSWiA.

Poziom podstawowy

Aby określić, czy nasz zbiór danych musi być zabezpieczony na poziomie podstawowym muszą być spełnione obydwa warunki:

Warunek 1 — jakie dane osobowe są przetwarzane ?

Jeżeli w zbiorze danych osobowych nie są przetwarzane dane określające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne lub filozoficzne,
  • przynależność wyznaniową, partyjną lub związkową,
  • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym
  • dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

wówczas jest spełniony jeden z warunków klasyfikujących zabezpieczenie zbioru danych osobowych na poziomie podstawowym.

Warunek 2 — dostęp do urządzeń z zewnątrz — z sieci Internet

Żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Jeżeli są spełnione oba warunki wówczas zbiór może być zabezpieczony na poziomie podstawowym.

Co to oznacza?

Wymagania zabezpieczeń zbioru danych osobowych — poziom podstawowy

Jeżeli spełniamy oba wyżej wymienione warunki musimy zabezpieczyć zbiór danych osobowych przestrzegając między innymi następujących zasad:

  • Pomieszczenia, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
  • W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
  • System informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
  • W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
  • Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  • Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa się niezwłocznie po ustaniu ich użyteczności.
  • Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza pomieszczeniami wykazanymi w polityce bezpieczeństwa.
  • Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe:
    • przeznaczone do likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie
    • przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu danych, w sposób uniemożliwiający ich odzyskanie;
    • naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
  • Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego

Powyższe wymagania są najważniejszymi, które należy spełnić.

Poziom podwyższony

Poziom podwyższony stosuje się w przypadku, gdy wyżej opisany warunek 1 nie jest spełniony. W tym przypadku warunek 2 powinien być spełniony, czyli do systemu informatycznego nie ma dostępu z zewnątrz — z sieci publicznej.

Wymagania zabezpieczeń zbioru danych osobowych — poziom podwyższony

W tym przypadku obowiązują wszystkie wymagania jak na poziomie podstawowym z następującymi zmianami:

  • W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
  • Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar pomieszczeń, w których się je przetwarza, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

Poziom wysoki

Poziom wysoki stosuje się zawsze gdy warunek 2 nie jest spełniony, tzn. gdy chociaż jedno urządzenie systemu informatycznego jest połączone z siecią publiczną, czyli z Internetem.

Jeżeli szukasz wsparcia prawnego swojego e-biznesu

zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

Wymagania zabezpieczeń zbioru danych osobowych — poziom wysoki

W tym przypadku obowiązują wszystkie wymagania jak na poziomie podwyższonym z następującymi zmianami:

  • System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
  • W przypadku zastosowania logicznych zabezpieczeń, o których mowa, obejmują one:
    • kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
    • kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
  • Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Czy ten artykuł był przydatny?

Tagi:
Udostępnij: