Jak wykorzystać Rozporządzenie w sprawie KRI do tworzenia systemu ochrony danych osobowych

W trakcie zorganizowanej przez PTI Konferencji „Bezpieczeństwo danych w sektorze publicznym” miałem przyjemność wygłosić prelekcją na temat wykorzystania „Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”, w tworzeniu systemu ochrony danych osobowych.

Wynikający z Rozporządzenia obowiązek stworzenia systemu zarządzania bezpieczeństwem informacji w podmiotach realizujących zadania publiczne (więc nie tylko w urzędach!), zaczyna powoli przebijać się do świadomości osób odpowiedzialnych za bezpieczeństwo informacji. Skutkuje to, częstym na szkoleniach i konferencjach pytaniem: „Co Pan mówi?! Czego wy od nas chcecie?! Nie dość, że mamy stworzyć politykę bezpieczeństwa danych osobowych, to jeszcze mamy mieć drugą politykę bezpieczeństwa informacji?”.

W trakcie prezentacji starałem się pokazać, że nie tylko nie musimy powielać zapisów z polityki bezpieczeństwa danych osobowych w polityce bezpieczeństwa informacji, ale powinniśmy dążyć do scalenia i ujednolicenia tych systemów. Opracowany na podstawie § 20 Rozporządzenia system zarządzania powinien umożliwić prawidłowy dobór zabezpieczeń.

Zgodnie z ustawą o ochronie danych osobowych „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną(…)”. Ale jakie środki będą „właściwe”? Podmioty realizujące zadania publiczne, dobierając zabezpieczenia powinny opierać się na analizie ryzyka przeprowadzonej zgodnie z Rozporządzeniem (§ 20 ust. 2. pkt 3)).

Oczywiście, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznych służącym do przetwarzania danych osobowych muszą zawierać wszystkie wymagane elementy. Przykładowo, wykaz zbiorów danych i opis struktury, nie będą częścią systemu zarządzania bezpieczeństwem informacji. Jednak „określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”, możemy włączyć już do systemu zarządzania bezpieczeństwem informacji.

Prezentację można pobrać ze strony Konferencji.

Zachęcam również do zapoznania się z pozostałymi prezentacjami i udziału w kolejnych edycjach.

 

Jarosław Żabówka

 

Konferencje

Kończy się kolejny, intensywny okres promowania tematyki ochrony danych. W ostatnim czasie uczestniczyliśmy m.in. w dwóch świetnych imprezach:

  • IX Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych.
    Kongres to impreza, która niewątpliwie wyrasta na jedno z najważniejszych branżowych wydarzeń. Trzy dni fascynujących prezentacji, ale przede wszystkim, kuluarowych dyskusji i wymiany doświadczeń. Tylko ograniczone ramy czasowe sprawiły, że debata, w której miałem zaszczyt uczestniczyć, nie przeciągnęła się do następnego dnia 🙂 Wielkie podziękowania i gratulacje dla Krajowego Stowarzyszenia Ochrony Informacji Niejawnych za świetną organizację.
  • Konferencje Meet IT, stały się niezwykle szybko najważniejszą imprezą dla ludzi IT na Śląsku (chociaż mamy coraz więcej uczestników z innych województw). W trakcie piątego spotkania miałem przyjemność mówić na temat mitów przetwarzania danych osobowych w chmurze. Chyba na żadnej z poprzednich edycji konferencji, panel dyskusyjny nie był tak ożywiony. Niech będzie mi wolno tą drogą wyrazić serdeczne podziękowania dla wszystkich uczestników, za niezwykle ciekawe pytania i uwagi.
    W promowaniu imprezy uczestnicy Grupa IT Katowice

A co nas czeka w najbliższym czasie? Przede wszystkim zapraszamy do udziału w I Letnich Spotkaniach PTI, gdzie tematyka ochrony danych osobowych, bezpieczeństwa informacji i bezpieczeństwa IT, będzie również często poruszana.

Jarosław Żabówka

Zobacz mnie na GoldenLine

 

 

Zapraszamy na Meet IT vol. 5

Zapraszamy na Meet IT vol. 5

6 czerwca 2013 odbędzie się piąte spotkanie z cyklu Meet IT. Miejscem spotkania będzie Kinoteatr Rialto w Katowicach.

Dyskutować będziemy na temat: Prywatność użytkowników i ochrona danych osobowych w IT.

Prelegenci odpowiedzą na pytania:

  • jak dbać o prywatność użytkowników w sieci?
  • na co zezwala ustawa o ochronie danych osobowych?
  • jak się uchronić przed wyciekiem i utratą przetwarzanych danych osobowych?

 

 

Udział w spotkaniu jest bezpłatny. Wymaga rejestracji poprzez formularz znajdujący się obok na stronie MeetIT.

Zapraszamy również do śledzenia dyskusji na forum grupy IT Katowice

 

 

 

Seminarium: „Dobre praktyki podczas analizy powłamaniowej do systemów teleinformatycznych”

Oddział Górnośląski Polskiego Towarzystwa Informatycznego, Sekcja Bezpieczeństwa PTI oraz Euro-Centrum Park Naukowo-Technologiczny zapraszają do udziału w seminarium:

„Dobre praktyki podczas analizy powłamaniowej do systemów teleinformatycznych”

Agenda:
Godz. 15.45 – 16.00 – rejestracja gości

Godz. 16.00 – 16.30 – Rozpoczęcie seminarium – Dr inż. Adrian Kapczyński – prezes Oddziału Górnośląskiego PTI, Agnieszka Zięcina – Euro-Centrum Park Naukowo-Technologiczny

Godz. 16.30 – 17.15 – „Analiza powłamaniowa studium przypadku” Daniel Suchocki – Dyrektor Laboratorium Informatyki Kryminalistycznej ProCertiv Sp. z o.o., biegły sądowy z listy SO Katowice

Godz. 17.15 – 18.00 – „Analiza powłamaniowa – studium kilku przypadków (wykład techniczny)” – Dr Andrzej Niemiec – wykładowca akademicki, Rzeczoznawcza Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego, biegły sądowy z listy SO Wrocław

Godz. 18.00 – 19.00 – „Dyskusja dotycząca błędów popełnianych podczas analizy powłamaniowej oraz dobrych praktyk dotyczących przygotowania organizacji do incydentu” – moderacja Adam Mizerski – Rzeczoznawcza Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego, biegły sądowy z listy SO Katowice

Data: 20.03.2013 (środa) Miejsce: Katowice, ul. Ligocka 103 budynek nr 3

W S T Ę P W O L N Y po wcześniejszej rejestracji na stronie http://www.pti.katowice.pl/