Jak wykorzystać Rozporządzenie w sprawie KRI do tworzenia systemu ochrony danych osobowych

W trakcie zorganizowanej przez PTI Konferencji „Bezpieczeństwo danych w sektorze publicznym” miałem przyjemność wygłosić prelekcją na temat wykorzystania „Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”, w tworzeniu systemu ochrony danych osobowych.

Wynikający z Rozporządzenia obowiązek stworzenia systemu zarządzania bezpieczeństwem informacji w podmiotach realizujących zadania publiczne (więc nie tylko w urzędach!), zaczyna powoli przebijać się do świadomości osób odpowiedzialnych za bezpieczeństwo informacji. Skutkuje to, częstym na szkoleniach i konferencjach pytaniem: „Co Pan mówi?! Czego wy od nas chcecie?! Nie dość, że mamy stworzyć politykę bezpieczeństwa danych osobowych, to jeszcze mamy mieć drugą politykę bezpieczeństwa informacji?”.

W trakcie prezentacji starałem się pokazać, że nie tylko nie musimy powielać zapisów z polityki bezpieczeństwa danych osobowych w polityce bezpieczeństwa informacji, ale powinniśmy dążyć do scalenia i ujednolicenia tych systemów. Opracowany na podstawie § 20 Rozporządzenia system zarządzania powinien umożliwić prawidłowy dobór zabezpieczeń.

Zgodnie z ustawą o ochronie danych osobowych „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną(…)”. Ale jakie środki będą „właściwe”? Podmioty realizujące zadania publiczne, dobierając zabezpieczenia powinny opierać się na analizie ryzyka przeprowadzonej zgodnie z Rozporządzeniem (§ 20 ust. 2. pkt 3)).

Oczywiście, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznych służącym do przetwarzania danych osobowych muszą zawierać wszystkie wymagane elementy. Przykładowo, wykaz zbiorów danych i opis struktury, nie będą częścią systemu zarządzania bezpieczeństwem informacji. Jednak „określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”, możemy włączyć już do systemu zarządzania bezpieczeństwem informacji.

Prezentację można pobrać ze strony Konferencji.

Zachęcam również do zapoznania się z pozostałymi prezentacjami i udziału w kolejnych edycjach.

 

Jarosław Żabówka

 

Studia podyplomowe: Ochrona danych osobowych w administracji i w biznesie

Wyższa Szkoła Biznesu w Dąbrowie Górniczej

Wyższa Szkoła Biznesu w Dąbrowie Górniczej to jedna z najlepszych uczelni w Polsce. Praktyczne programy nauczania, wykwalifikowana kadra dydaktyczna praktyków, nowoczesne metody kształcenia to wynik ponad 20-letniego doświadczenia w zakresie realizacji studiów podyplomowych

Zachęcamy do skorzystania z możliwości podniesienia swoich kwalifikacji poprzez udział w studiach podyplomowych na kierunku „Ochrona danych osobowych w administracji i w biznesie”.

Studia na tym kierunku to przede wszystkim zajęcia prowadzone przez praktyków, dla których ochrona danych osobowych i bezpieczeństwo informacji to nie tylko codzienna praca, ale przede wszystkim życiowa pasja. Studia dają możliwość zdobycia wiedzy na temat zasad zabezpieczania różnych rodzajów informacji, dzięki czemu absolwenci zyskują wyjątkową pozycję na współczesnym rynku pracy. W trakcie zajęć poznają takie dziedziny jak przetwarzanie danych osobowych, bezpieczeństwo informacji, ochrona informacji niejawnych.

Dodatkowe informacje i szczegółowy program dostępne są na stronie internetowej Wyższej Szkoły Biznesu w Dąbrowie Górniczej.

 

 

IT Security Management GIGACON 2012 już za nami…

Czy warto uczestniczyć w bezpłatnych konferencjach? Przyznam się, że często miewam opory przed poświęceniem czasu i spędzeniem kolejnego dna na słuchaniu powtarzanych w kółko, tych samych marketingowych frazesów.

Tym razem jednak pozytywnie się zaskoczyłem (i nie tylko dlatego, że pierwszą z prezentacji przedstawiałem ja ;)). Organizatorom udało się w znaleźć złoty środek pomiędzy różnymi zagadnieniami – tymi bardziej technicznymi, tymi bliższymi zarządzaniu bezpieczeństwem i tymi dotyczącymi danych osobowych.

Niemały udział w powodzeniu konferencji mieli prowadzący prezentacje – nie było mowy o tym, żeby chociaż na chwilę oderwać się od tematu i „odpłynąć” myślami.

To że Pan Krzysztof Wagner z TÜV NORD przykuje naszą uwagę, było oczywiste. Ale sprawienie, że będę z zainteresowaniem po raz kolejny słuchać w jaki sposób radzić sobie z nadmiarem ciepła w DataCenter wymagało już wyjątkowych umiejętności prelegenta. Pan Michał Pyter z APC dał radę :).

Ale to wszystko nie spowodowałoby, żeby tak dobrze wspominał konferencję, gdyby pozostali prelegenci nie stali na równie wysokim poziomie.

Zapraszam Was do dzielenia się opiniami na temat konferencji.

Zgodnie z obietnicą Organizatorów, prezentacje można pobrać ze strony – http://gigacon.org/itsec/2012

Jarosław Żabówka

Normy i standardy bezpieczeństwa informacji.

Spora ilość norm i standardów związanych z bezpieczeństwem informacji i zapewnieniem ciągłości działania bywa przytłaczająca dla osób rozpoczynających swoją przygodę z tą tematyką.

Pod adresem http://wiki.iso27001standard.com/index.php… znajdziecie zwięzłe zestawienie najważniejszych standardów z tej dziedziny.

Gdzie znajdę materiały na temat bezpieczeństwa informacji?

W Internecie można znaleźć mnóstwo materiałów na temat bezpieczeństwa informacji i normy ISO 27001. Jak dla mnie jest to wręcz klęska urodzaju – materiałów jest tak dużo, że można stracić tygodnie na poszukiwaniu czegoś wartościowego i oryginalnego. Na kolejnych stronach powielane są te same informacje, a opanowane przez pozycjonerów Google nie pomagają nam w jakiś szczególny sposób wyszukać użytecznych informacji.

Moim, subiektywnym zdaniem warto zaglądać na strony: