Przykładowe naruszenia zabezpieczeń i sposoby postępowania w wypadku ich wystąpienia

Naruszenia ochrony danych osobowych przez osoby zatrudnione przy przetwarzaniu danych

FORMY NARUSZEŃ

SPOSOBY POSTĘPOWANIA

W ZAKRESIE WIEDZY

Ujawnianie sposobu działania aplikacji i systemu oraz jej zabezpieczeń osobom niepowołanym

Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić IOD

Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej

Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać, np. z obserwacji lub dokumentacji

W ZAKRESIE SPRZĘTU I OPROGRAMOWANIA

Opuszczenie stanowiska pracy i po­zostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych

Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport

Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony

Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport

Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci

Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić IOD. Sporządzić raport

Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych osobom nieuprawnionym

Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić, jakie czynności zostały wykonane przez osoby nieuprawnione. Przer­wać działające programy. Niezwłocznie powiadomić IOD. Sporządzić raport

Samodzielne instalowanie jakiegokolwiek oprogramowania

Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać ASI w celu odinstalowania programów. Sporządzić raport

Modyfikowanie parametrów systemu i aplikacji

Wezwać osobę popełniającą wymienioną czynność, aby jej zaniechała. Sporządzić raport

Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym

Pouczyć osobę popełniającą wymienioną czynność o szkodliwości takiego działania. Wezwać ASI w celu wykonania kontroli antywirusowej. Sporządzić raport

W ZAKRESIE DOKUMENTÓW I OBRAZÓW ZAWIERAJĄCYCH DANE OSOBOWE

Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru

Zabezpieczyć dokumenty. Sporządzić raport

Przechowywanie dokumentów niewłaściwie zabezpieczonych przed dostępem osób niepowołanych

Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport

Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie

Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport

Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią

Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport

Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe

Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane, sporządzić raport

Sporządzanie kopii danych na noś­nikach danych w sytuacjach nieprzewidzianych procedurą

Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić IOD. Sporządzić raport

Utrata kontroli nad kopią danych osobowych

Podjąć próbę odzyskania kopii. Powiadomić IOD. Sporządzić raport

W ZAKRESIE POMIESZCZEŃ I INFRASTRUKTURY SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

Opuszczanie i pozostawianie bez dozoru niezamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych

Zabezpieczyć pomieszczenie. Powiadomić przełożonych. Sporządzić raport

Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym

Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić ASI i IOD. Sporządzić raport

Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakiekolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić ASI i IOD. Sporządzić raport

W ZAKRESIE POMIESZCZEŃ, W KTÓRYCH ZNAJDUJĄ SIĘ KOMPUTERY CENTRALNE I URZĄDZENIA SIECI

Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze itp.)

Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń.
Postarać się ustalić ich tożsamość. Powiadomić ASI i IOD. Sporządzić raport

Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych

Wezwać osoby dokonujące zakazanych czynności do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić ASI i IOD. Sporządzić raport

 

Zdarzenia świadczące o możliwości naruszenia ochrony danych osobowych

FORMY NARUSZEŃ

SPOSOBY POSTĘPOWANIA

Ślady manipulacji przy układach sieci komputerowej lub komputerach

Powiadomić niezwłocznie IOD oraz ASI. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport

Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu

Powiadomić niezwłocznie ASI. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport

Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych

Nieoczekiwane, niedające się wyjaś­nić zmiany zawartości bazy danych

Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania

Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe

Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie IOD. Sporządzić raport