Zasady bezpieczeństwa – polityka

W celu zapewnienia bezpieczeństwa systemów informatycznych istotne jest opracowanie okreś­lonych procedur operacyjnych – jak nadawać uprawnienia, blokować konta użytkowników, wykonywać backup itd. Ważne jest, aby polityki obszaru IT „współgrały” z politykami dotyczącymi ochrony danych osobowych czy też prywatności (zob. ISO29100, sekcja 4.6.).

Zgodnie z ustawą o ochronie danych osobowych, która obowiązywała do maja 2018 r., organizacje zobowiązane były przygotować dwa zestawy dokumentów:

  • politykę bezpieczeństwa danych osobowych,
  • instrukcję zarządzania systemem do przetwarzania danych osobowych.

Dokument polityki bezpieczeństwa danych osobowych regulował takie obszary, jak:

  • kontrola dostępu,
  • klasyfikacja informacji,
  • bezpieczeństwo fizyczne i środowiskowe,
  • obszary dotyczące użytkownika końcowego,
  • kopie zapasowe,
  • ochrona przed złośliwym oprogramowaniem,
  • zarządzanie podatnościami technicznymi,
  • bezpieczeństwo komunikacji.

Ponadto polityka powinna zawierać takie informacje, jak:

  • wykaz miejsc, gdzie przetwarza się dane osobowe,
  • wykaz zbiorów danych osobowych oraz programów, jakie służą do przetwarzania danych osobowych,
  • opis struktury tych zbiorów i sposób przepływu danych między systemami,
  • opis zabezpieczeń – środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności i integralności.

Instrukcja stanowiła uszczegółowienie zasad opisanych w polityce bezpieczeństwa, ograniczonych wyłącznie do obszaru IT. Instrukcja regulowała takie kwestie, jak:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

RODO wymaga opracowania nowej dokumentacji – jest nim rejestr czynności przetwarzania. Powinien on zawierać:

  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 30 ust. 1 lub 2 pkt d),
  • dane administratora, cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.

Jeśli porówna się rejestr z polityką bezpieczeństwa, to widać wiele wspólnych elementów.

Dostosowanie istniejącej dokumentacji do wymagań RODO nie powinno być trudne. Można pozostać przy dokumencie polityki bezpieczeństwa, pozbawiając go jedynie tych kwestii, dla których bardziej odpowiednim miejs­cem będzie rejestr czynności przetwarzania. Instrukcję zarządzania też można pozostawić, pozbawiając ją archaicznej części (procedury rozpoczęcia, zawieszenia i zakończenia pracy miały sens w latach siedemdziesiątych, osiemdziesiątych, ale nie teraz).

Rozporządzenie nie określa, jaka powinna być struktura dokumentacji, więc pozostaje to do decyzji organizacji. Jest to dobre rozwiązanie, bo każda dokumentacja powinna zostać dostosowana do indywidualnego charakteru i wymagań przedsiębiorstwa.

 

Menedżer bezpieczeństwa

W IT niezmiernie ważne jest wyznaczenie czy zatrudnienie osoby, która będzie dbała o bezpieczeństwo systemów informatycznych i będzie też odpowiedzialna za cykliczne pomiary stanu bezpieczeństwa.

 

Bezpieczeństwo personalne

Bezpieczeństwo personalne – to zagadnienie raczej poza obszarem IT, ale warto w IT skupić uwagę na tym, że specjaliści zajmujący się technologiami informatycznymi mogą z racji posiadanych uprawnień uzyskać dostęp do każdej informacji przetwarzanej w systemach informatycznych. Dlatego warto rozważyć tzw. screening pracowników, np. sprawdzenie wiarygodności informacji zawartych w życiorysie, uzyskanie potwierdzonych referencji z poprzednich miejsc pracy bądź zaświadczenie o niekaralności (o ile przepisy pozwalają na to ostatnie).

Warto zauważyć, że do danych osobowych mogą uzyskać dostęp pracownicy firm zewnętrznych, serwisujących urządzenia informatyczne. W zależności od ich zadań trzeba podpisać z nimi umowę o zachowaniu poufności bądź umowę powierzenia.

 

Identyfikacja właścicieli informacji

Jednym z najważniejszych zagadnień związanym z dostosowaniem do przepisów rozporządzenia jest identyfikacja danych: jakie dane są w organizacji, gdzie się znajdują, kto za nie odpowiada i kto ma do nich dostęp.

Zidentyfikowanie osób, które za dane odpowiadają, będzie potrzebne do wdrożenia właściwego procesu nadawania uprawnień, bo właściciel informacji jest jej gestorem (dysponentem) i on powinien decydować o tym, kto do niej będzie miał dostęp i jaki.

 

Szyfrowanie

Szyfrowanie służy do ukrywania informacji przed niepożądanym lub nieuprawnionym dostępem. Najprostszym narzędziem do szyfrowania jest Word i Excel – dokument zabezpieczony hasłem przed otwarciem jest tak naprawdę zaszyfrowany. Szyfrowanie tego rodzaju jest szyfrowaniem symetrycznym – tym samym kluczem szyfruje się dokument i tym samym się go deszyfruje. Nie wchodząc w szczegóły, dobrze jest pamiętać o tym, aby hasło, którym taki dokument się zabezpiecza, było skomplikowane i długie, i żeby było przesłane innym kanałem komunikacji niż dokument.
 

Szyfrowanie transmisji danych

Każde dane osobowe, jeśli są przesyłane przez Internet, należy szyfrować, a szczególnie dane wykorzystywane do uwierzytelnienia (np. login i hasło). Szyfrowanie jest konieczne, aby dane nie zostały podsłuchane i przechwycone podczas transmisji w sieci.

W przypadku aplikacji internetowych najczęściej spotykanym szyfrowaniem jest szyfrowanie transmisji danych SSL (ang. secure socket layer) lub TLS (ang. transport layer security). Są one powszechnie wykorzystywane do zabezpieczenia transmisji danych w bankowości elektronicznej, w serwisach aukcyjnych, sklepach internetowych itd. Najbardziej zauważalnym symbolem potwierdzającym wykorzystanie tych protokołów jest adres strony internetowej zaczynający się od https://. Litera „s” oznacza secure – ang. bezpieczny, zabezpieczony.

Szyfrowania należy też używać w przypadku zdalnego łączenia się z biurem – stosuje się w tym celu tzw. tunele VPN. Komputer podłączony w ten sposób do sieci firmowej pracuje tak, jakby faktycznie znajdował się w biurze.

Przesyłając pliki, należy unikać FTP (ang. file transfer protocol), gdyż podczas transmisji identyfikator użytkownika, hasło i wszystkie dane są niezaszyfrowane – można je podsłuchać. Należy korzystać z ich bezpieczniejszych odmian, takich jak FTPS lub SFTP. W ostateczności można korzystać z FTP, ale wówczas przesyłane pliki powinny być uprzednio (przed transmisją) zaszyfrowane (np. plik 7z zabezpieczony hasłem).

 

Szyfrowanie danych na dyskach

Dane osobowe, które transportuje się „na zewnątrz”, powinno się szyfrować. Najczęściej chodzi o pamięci USB oraz dyski laptopów. Jeśli chodzi o laptopy, to najlepiej zaszyfrować cały dysk – można użyć do tego celu takie programy, jak: BitLocker (Microsoft), SafeBoot (McAfee), SafeGuard (Utimaco Safeware), Truecrypt (TrueCrypt Foun­dation).

Trzeba być świadomym tego, że nawet jeśli do zabezpieczenia komputera używa się hasła, to dane na dysku komputera nie są zabezpieczone. Hasło zabezpiecza głównie dostęp do ekranu, a więc wystarczy np. przełożyć dysk do innego urządzenia, aby odczytać z niego wszystkie dane. Stosując jeden z wymienionych programów do szyfrowania, ma się gwarancję, że nikt nie uzyska dostępu do jakichkolwiek danych, nawet jeśli dysk twardy zostanie włożony do innego komputera. Wiele z tych programów pozwala także szyfrować dane na pamięciach USB.

 

Polityka haseł

Dobre hasło to takie, którego nie da się szybko ani odgadnąć, ani „złamać”. Hasła trzeba stosować zawsze, nie powinno używać się systemów bez hasła albo z ustawionym tzw. autologowaniem, tak jest np. z fabrycznie zainstalowanym na komputerze systemem Windows, który po włączeniu uruchamia od razu system bez podania żadnego hasła.

Dobre, mocne hasło powinno zawierać małe i wielkie litery oraz cyfry i znaki specjalne oraz być odpowiedniej długości.

Jedną z metod uzyskiwania haseł przez włamywaczy jest ich zgadywanie, czyli łamanie metodą brute-force albo słownikową. Metoda łamania haseł brute-force polega na próbowaniu kolejnych kombinacji haseł. Typowy zamek do walizki otwiera się za pomocą kodu złożonego z 3 cyfr, aby go „złamać”, należy próbować po kolei kombinacji od 000 do 999. W najgorszym wypadku potrzebnych jest tysiąc kombinacji. W przypadku haseł komputerowych oprócz samych cyfr do dyspozycji są jeszcze litery alfabetu, w dodatku małe i wielkie (większość systemów je rozróżnia) oraz tzw. znaki specjalne, którymi są np. wykrzyknik czy cudzysłowy. Ich stosowanie znacząco wzmacnia hasło. Dobre hasło powinno zawierać wszystkie rodzaje znaków i być długie. Wbrew pozorom najłatwiej utworzyć i zapamiętać długie hasło. Jedyna niedogodność polega na tym, że dłużej się je wpisuje. Do utworzenia hasła warto wybrać zdanie, które się pamięta, np.:

  • SiałaBabaMak#2018,
  • UrlopZa365Dni!
  • 1000$ZaNic!

To naprawdę łatwe do zapamiętania hasła i trudne do złamania. Niektóre systemy umożliwiają blokowanie konta po określonej liczbie prób zalogowania z nieprawidłowym
hasłem. Ta technika chroni przed łamaniem hasła lub jego zgadywaniem. Konto po określonej liczbie prób można zablokować na stałe (wtedy operator musi je odblokować) albo na pewien czas (wtedy konto po upływie tego czasu odblokuje się automatycznie). Stosując takie techniki, można nieco złagodzić wymagania dla haseł.

Kiedyś hasła trzeba było zmieniać co 30 dni – wymóg rozporządzenia do ustawy o ochronie danych osobowych. Wydaje się, że 90 dni jest najbardziej optymalne. Na pewno
warto zmieniać hasła co jakiś czas; niezmienianie haseł to bardzo zła praktyka.

Należy pamiętać o tym, że ujawnione hasło pozwala na dostęp do informacji przetwarzanej za pomocą systemu komputerowego. Można śmiało powiedzieć, że ujawnienie hasła to jak ujawnienie danych osobowych.

 

Uwierzytelnianie wieloskładnikowe

Tam, gdzie to możliwe, warto używać uwierzytelniania wieloskładnikowego (ang. multi-factor authentication, MFA), na które mogą składać się następujące elementy:

  • wiedza – coś, co użytkownik zna, wie (hasło, PIN),
  • stan posiadania – coś co użytkownik ma (token bezpieczeństwa, certyfikat, określone urządzenie),
  • czynnik ludzki – kim jest użytkownik (biometria dłoni, palców, twarzy, oka itp.),
  • lokalizacja – gdzie użytkownik się znajduje.
  • Najczęściej spotykane metody użycia uwierzytelniania wieloskładnikowego to:
  • przeciągnięcie karty dostępowej i podanie PIN-u,
  • logowanie się do strony internetowej, podanie nazwy użytkownika, hasła oraz dodatkowego kodu przesłanego za pomocą SMS.

 

Zapisywanie haseł

Haseł nie powinno się zapisywać, bo ktoś może je znaleźć i wykorzystać. Są jednak sytuacje, gdy hasła należy zapisywać, np. ważne hasła administracyjne do istotnych systemów należy przechowywać w sejfie. Hasła można też przechowywać w specjalnie do tego opracowanych programach, takich jak elektroniczny sejf Keepass1.

Backup

Zapasowe kopie danych mają ogromne znaczenie dla organizacji, która przetwarza dane komputerowo. Są one swojego rodzaju polisą ubezpieczeniową, która pozwala odzyskać dane w razie awarii, gdy dane zostaną usunięte przez przypadek lub na skutek działalności typu ransom­ware. Kopie zapasowe należy wykonywać regularnie i przechowywać w innym pomieszczeniu, a najlepiej w innym miejscu niż siedziba przedsiębiorcy. Można nawet zlecić innej firmie ich przechowywanie – na rynku funkcjonują firmy oferujące takie usługi2. Trzeba jednak pamiętać, że na kopiach zapasowych znajdują się dane osobowe. Projektując procesy odtwarzania danych, należy uwzględnić, by z odtworzonych danych usunąć te dane, które podlegały prawu do usunięcia na mocy art. 17 RODO.

 

Ochrona przed wirusami

Komputery, na których przetwarza się dane osobowe, należy zabezpieczyć przed działaniem złośliwego oprogramowania (rozmaite wirusy, konie trojańskie, robaki, które zwyczajowo określa się wirusami).

Większość programów antywirusowych chroniących przed złośliwym oprogramowaniem działa w czasie rzeczywistym, tj. na bieżąco sprawdza wszystkie otwierane pliki, w tym także te ściągane z Internetu. Programy antywirusowe nie pozwolą otworzyć zarażonego pliku, a w konsekwencji dalej go rozprzestrzeniać. Z tego powodu programu antywirusowego nie należy wyłączać, nawet jeśli spowalnia komputer, bo w tym czasie komputer pozbawiony jest ochrony.

Należy pamiętać o aktualizacjach szczepionek, które pozwa­lają wykrywać najnowsze wirusy. Programy antywirusowe rozpoznają wirusy po wzorze danych (tzw. patternie), nie pozachowaniu. Brak aktualnych sygnatur powoduje nieskuteczną ochronę.

 

Zarządzanie podatnościami technicznymi

Podatności – to takie luki w systemach, które ktoś może wykorzystać, aby zaatakować. Podstawowym elementem zarządzania podatnościami jest aktualizowanie na bieżąco poprawek/aktualizacji bezpieczeństwa. Strategia taka będzie wystarczająca dla niewielkich organizacji.

W większych organizacjach potrzebne będą bardziej zaawansowane rozwiązania, a sam proces będzie bardziej skomplikowany. Podatności powinny być skanowane za pomocą skanera podatności. Skanowane powinny być zarówno elementy wewnątrz sieci, jak też te na zewnątrz. Aby proces funkcjonował prawidłowo, należy:

  • określić i ustalić role w procesie (kto co robi, np. kto skanuje systemy, aby wykryć podatności, a kto je następnie usuwa),
  • ocenić ryzyka podatności,
  • instalować poprawki wyłącznie z zaufanego źródła – patch powinien być wcześniej przetestowany,
  • jeśli nie ma poprawki, zastanowić się, co innego można zrobić, aby zmniejszyć ryzyko,
  • przygotować dokumentację,
  • łatać w pierwszej kolejności te systemy, dla których ryzyko jest wysokie.
  • Incydenty

 

Zgodnie z terminologią RODO:

„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Incydent według normy PN/ISO 27000:2017 – to „pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji3”.

Norma za „zdarzenie związane z bezpieczeństwem informacji” uznaje „zidentyfikowany stan systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną wcześniej sytuację, która może być związana z bezpieczeństwem”.

W normie ISO odwołano się do ryzyka, jakie niesie ze sobą incydent, natomiast w RODO skupiono się na czynnościach, które są zabronione. W wyniku takiego podejścia definicja w RODO jest węższa, przykładowo: zwiększenie ryzyka wycieku danych osobowych w RODO nie byłoby jeszcze naruszeniem ochrony danych osobowych, a w przypadku normy byłoby już incydentem.

Różnica między zdarzeniem i incydentem polega na wpływie zdarzenia (bądź zdarzeń) na firmę. Najlepiej obrazuje to przykład zarażenia komputera wirusem. Jeśli wirus został w miarę szybko usunięty i nie poczynił żadnych szkód, jest to zdarzenie. Jeśli jednak zarażone zostały wszystkie komputery w firmie (wiele zdarzeń) i istniało ryzyko wycieku danych (wpływ na biznes, zagrożenie bezpieczeństwa danych osobowych) lub dane zostały rzeczywiście udostępnione, to jest to incydent.

Można użyć dokładnie tych samych definicji, zamieniając termin „bezpieczeństwo informacji” na termin „ochrona danych osobowych” i system zarządzania incydentami ochrony danych osobowych będzie funkcjonował prawidłowo.

 

Tabela 1. Porównanie obowiązków w zakresie zarządzania incydentami

Norma ISO

RODO/Wytyczne grupy roboczej
Konieczne ustalenie ról i odpowiedzialności w procesie zarządzania incydentami Ustalone role administratora danych oraz inspektora ochrony danych
Mechanizmy raportowania zdarzeń bezpieczeństwa

Wymagane mechanizmy wykrywania naruszeń (motyw 75 RODO).

Raportowanie naruszeń przez procesorów (art. 33 ust. 2)

Mechanizmy raportowania podatności (słabości) systemu
Ocena zdarzeń i decyzja, czy są incy­dentami Określenie ryzyka dla prywatności (art. 33 ust. 1)
Reagowanie na incydent

Raportowanie naruszeń do organu nadzorczego (art. 33 ust. 1).

Informowanie osób, których dane dotyczą, o naruszeniach (art. 34)

Lekcje z incydentów

Dokumentacja incydentów Rejestr naruszeń (art. 33 ust. 5)

 

Compliance

Trzeba regularnie monitorować stan bezpieczeństwa. Jest wiele metod i wiele miar, ale nie ma sensu komplikować prostych zagadnień. Najlepiej jest bazować na własnej polityce bezpieczeństwa i przygotować listę kontrolną wymagań oraz regularnie sprawdzać, które z nich są spełnione i w jakim stopniu. Jeśli polityka bezpieczeństwa nie określa wszystkich wymagań, można skorzystać z załącznika A do normy ISO 27001 i bardziej szczegółowych
wymagań opisanych w ISO 27002.

Wymaganie Stopień
spełnienia
poprzednim razem
Stopień
spełnienia obecnie
Komentarz
Kopie zapasowe wykonywane są codziennie 100% 90% Dwa razy kopie zapasowe nie udały się
Pełne skanowanie stacji
roboczych antywirusem
co tydzień
99% 100%  
  100% 100%  

 

Taką listę kontrolną można dowolnie dostosowywać do swoich potrzeb, dodając wymagania w następnych kolumnach. Jednostki stopnia zgodności też można zmieniać; niektóre organizacje wolą podawać stan procentowo, inne preferują macierz ZPC (czerwony, pomarańczowy, zielony – w języku angielskim określany jako RAG – red, amber, green).

Nie ma wymagania co do częstotliwości takich sprawdzeń, jednak powinno się je wykonywać nie rzadziej niż raz na rok.

Rozporządzenie określa, że dane osobowe muszą być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«)” oraz zaznacza, że:

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Przygotowanie zasad bezpieczeństwa (polityki bezpieczeństwa i związanych z nią procedur) oraz monitorowanie stanu zgodności z nimi pozwoli na wykazanie przestrzegania przepisów, do których należy też „odpowiednie bezpieczeństwo danych osobowych”.

 

Rejestr odchyleń

W każdej organizacji będą pojawiać się odchylenia od wymagań polityki bezpieczeństwa. Czasami będą one wynikać z błędów ludzkich, czasami będą to incydenty, a czasami tymczasowe sytuacje związane z brakiem zasobów (np. środków finansowych). Znaczące odstępstwa będą prawdopodobnie stanowić ryzyka, którymi należy zarządzić. Jeśli te ryzyka będą wpływać na dane osobowe, to należy je omówić z inspektorem ochrony danych osobowych i przedstawić kierownictwu, które odpowiada za przestrzeganie przepisów. Zawsze trzeba mieć plan postępowania z takimi ryzykami (odchyleniami), nawet jeśli tym planem jest akceptacja tego, co się zdarzy.

 

Ocena skutków dla ochrony danych (DPIA)

Ocena skutków dla ochrony danych nie jest narzędziem IT, ale będzie angażować ten dział, ponieważ będzie konieczna ocena zabezpieczeń.

Wiedza o poziomie zgodności z zasadami bezpieczeństwa na pewno ułatwi włączanie się IT w procesy oceny skutków dla ochrony danych.