OCHRONA DANYCH

 

 

Wywiad_ochrona danych

Jeszcze nie tak dawno przechowywaliśmy różne ważne dokumenty w opasłych teczkach, specjalnych archiwach, ze specjalnie strzeżonym dostępem.

Kradzieże dokumentów były związane z włamaniem się do pomieszczenia w których przechowywane były informacje, w zależności od upływu czasu, na mniej lub bardziej pożółkłym papierze. Dobrym zabezpieczeniem okazywały się grube mury, zamki i solidny stróż. Dzisiejsze gromadzenie informacji w formie elektronicznej stworzyło nowe wyzwania dla tych wszystkich, którzy uwolnieni od ciężaru i przestrzeni archiwów musza skupiać swój wysiłek na zabezpieczeniu się na wypadek przestępstw dokonywanych w białych rękawiczkach, bez użycia łomu czy palnika. Łatwość przenoszenia danych, brak ograniczeń związanych z miejscem ich przechowywania oraz czasem odnalezienia tego, co jest w danej chwili potrzebne, spowodował lawinowy wzrost ich kradzieży z bardzo,często katastrofalnymi, następstwami.

Przyjazne urządzenie jakim stał się komputer, laptop, tablet czy smartfon usypia naszą czujność podczas pracy, a pozostawiony przez chwilę bez opieki może być powodem wycieku wielu wrażliwych danych. Warto więc w pracy z tymi urządzeniami przestrzegać trzech podstawowych zasad:

  • Zabezpieczenie dostępu do komputera
  • Tworzenie kopii zapasowych
  • Instalacja programu antywirusowego

Zasady i obowiązki użytkowania systemu funkcjonującego w firmie zawarte są w polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.

Dobrze opracowana polityka bezpieczeństwa zawiera:

  • Wykaz budynków, pomieszczeń lub ich części, w których przetwarzane są dane;
  • Wykaz zbiorów jakie przetwarza administrator wraz ze wskazaniem programów służących do ich przetwarzania;
  • Opis stosowanych środków bezpieczeństwa technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych;
  • Funkcjonalność systemu informatycznego umożliwiającą dla każdej osoby, której dane osobowe są przetwarzane, odnotowywanie daty pierwszego wprowadzenia danych do systemu oraz identyfikację użytkownika wprowadzającego dane.

Instrukcja zarządzania systemem informatycznym w szczególności zawiera:

  • Procedury nadawania uprawnień do przetwarzania danych w systemie informatycznym. Opisuje kto jest odpowiedzialny za nadawanie uprawnień, jak wygląda cały proces przygotowawczy użytkownika do pracy w systemie informatycznym przetwarzającym dane osobowe;
  • Stosowane metody i środki uwierzytelnienia oraz procedury ich zarządzania i użytkowania;
  • Postępowanie podczas rozpoczynania pracy w systemie informatycznym oraz kończenia lub jej zawieszania;
  • Procedury tworzenia i przechowywania kopii zapasowych;
  • Sposób, miejsce i okres przechowywania elektronicznych nośników zawierających dane osobowe oraz kopie zapasowe;
  • Sposób zabezpieczeń przed szkodliwym oprogramowaniem i wirusami komputerowymi oraz procedury postępowania użytkowników w przypadku zidentyfikowania określonego typu zagrożeń;
  • Odnotowywanie informacji o udostępnieniach danych odbiorcom, zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione;
  • Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Zachęcam do dokładnego zapoznania się z tymi dokumentami przed ich podpisaniem. Zawierają dodatkowe warunki korzystania z systemu, których przestrzeganie jest obowiązkiem wszystkich pracowników. Przy integracji systemów przesyłania danych z bazami centralnymi znalezienie miejsca potencjalnego wycieku nie jest stosunkowo trudne. Warto więc stosować się do zaleceń instrukcji i polityki we własnym, dobrze pojętym, interesie.