Zabezpieczenia systemów informatycznych

Obowiązujące przepisy nie wymuszają żadnych konkretnych zabezpieczeń. Wydawać by się mogło, że jeśli w organizacji dotychczas stosowano w miarę sensowne zabezpieczenia, to w związku z nowymi przepisami nie ma potrzeby wprowadzać niczego nowego

Nic bardziej mylnego – art. 5 ust. 2 określa, że:

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
 

W ust. 1 pkt f odnosi się do przetwarzania: w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Oznacza to, że nawet jeśli dotychczasowe zabezpieczenia były dobre, to i tak należy je zrewidować, ocenić, czy są „odpowiednie” i udokumentować.
 

Dokumentacja jest potrzebna, aby móc wykazać przestrzeganie przepisów, a zrewidowanie zabezpieczeń będzie konieczne w przypadku dokonywania oceny skutków dla ochrony danych (ang. data privacy impact assessment), w której IT będzie musiało wziąć udział.
 

Wśród możliwych do zastosowania „w stosownym przypadku” rozwiązań rozporządzenie wymienia:

  • pseudoanimizację i szyfrowanie danych,
  • rozwiązania w celu ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • rozwiązania w celu szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
     

Etap projektowania jest bardzo ważny, bo wówczas trzeba przemyśleć podstawowe zabezpieczenia, takie jak m.in.: uwierzytelnianie, kontrola dostępu, zarządzanie uprawnieniami, polityka haseł, szyfrowanie danych „w ruchu” oraz „w spoczynku”. To jest też moment do rozważenia zewnętrznych komponentów, takich jak np.: SIEM (Security Information and Event Management System), IDS/IPS (Intrusion Detection/Prevention), WAF (firewall aplikacyjny) – będą one niezbędne, aby wykrywać naruszenia bezpieczeństwa.
 

Zarządzanie dostępami
 

Zgodnie z obecną ustawą praca z danymi osobowymi była możliwa po otrzymaniu upoważnienia do przetwarzania danych osobowych (art. 37 ustawy). Rozporządzenie utrzymuje ten obowiązek w art. 32 ust. 4:

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca
z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora.

 

Będzie to wymagało wdrożenia odpowiednich procedur nadawania i odbierania uprawnień w systemach informatycznych, zgodnie z otrzymanymi informacjami o zatrudnieniu. Aby prawidłowo nadawać uprawnienia w IT, należy opracować zasady identyfikacji użytkowników. Przykładowo, jeśli wygaśnie hasło, a użytkownik dzwoni w celu jego ponownego ustawienia („odzyskania”), to powinien się zidentyfikować.