Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024), zwanego dalej rozporządzeniem, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Pojęcie „polityka bezpieczeństwa", użyte w rozporządzeniu należy rozumieć, jako zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (tutaj danych osobowych) wewnątrz określonej organizacji. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135, ze zm.), zwanej dalej ustawą, polityka bezpieczeństwa, o której mowa w rozporządzeniu powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. W przypadku, gdy został powołany administrator bezpieczeństwa informacji, zgodnie z art. 36a.ust. 1 pkt 2 lit. b ustawy o ochronie danych osobowych, do jego zdań należy między innymi nadzorowanie opracowania i aktualizowanie przedmiotowej polityki bezpieczeństwa oraz przestrzeganie zasad w niej określonych.
Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 ustawy. Polska Norma PN-ISO/IEC 27002:2013 określająca praktyczne zasady zabezpieczenia informacji w obszarze technik informatycznych, jako cel polityki bezpieczeństwa wskazuje zapewnienie przez kierownictwo wytycznych i wsparcia dla działań na rzecz bezpieczeństwa informacji zgodnie z wymaganiami biznesowymi oraz właściwymi normami prawnymi i regulacjami". Zaznacza się, że dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum wskazuje się, aby dokument określający politykę bezpieczeństwa uwzględniał wymagania wywodzące się ze strategii biznesowej, przepisów prawnych i zapisów umów oraz zagrożeń istniejących w danym środowisku, w którym przetwarzanie ma miejsce.
Zaleca się, aby polityka bezpieczeństwa informacji zawierała co najmniej takie elementy jak:
a) kontrola dostępu;
b) klasyfikacja informacji (i postępowanie z nią);
c) bezpieczeństwo fizyczne i środowiskowe;
d) obszary związane z użytkownikiem końcowym, takie jak:
1) akceptowane wykorzystanie aktywów;
2) polityka czystego biurka i czystego ekranu;
3) przekazywanie informacji;
4) urządzenia mobilne i telepraca;
5) ograniczenia dotyczące instalacji i stosowania oprogramowania;
e) kopie zapasowe;
f) przekazywanie informacji;
g) ochrona przed szkodliwym oprogramowaniem;
h) zarządzanie podatnościami technicznych;
i) zabezpieczenia kryptograficzne;
j) bezpieczeństwo komunikacji;
k) ochrona prywatności i informacji identyfikujących osoby.
Wymienione wyżej zalecenia w pełni można stosować do dokumentacji polityki bezpieczeństwa, o której mowa w § 4 rozporządzenia. Dokument określający politykę bezpieczeństwa nie powinien mieć charakteru zbyt abstrakcyjnego. Zasady postępowania określone w polityce bezpieczeństwa powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania. Wyjaśnienia i uzasadnienia zalecanych metod sprawiają na ogół, że rzadziej dochodzi do ich naruszenia i nie przestrzegania.
Dokument, o którym mowa w § 4 rozporządzenia w zakresie przedmiotowym powinien koncentrować się na bezpieczeństwie przetwarzania danych osobowych, co wynika z art. 36 ustawy o ochronie danych osobowych1. Prawidłowe zarządzanie zasobami, w tym również zasobami informacyjnymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju zastosowanych urządzeń, sprzętu
W § 4 rozporządzenia ustawodawca wskazał, że polityka bezpieczeństwa powinna zawierać w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.
Należy jednak zwrócić uwagę, że w wielu przypadkach, oprócz wymagań wskazanych w ww. rozporządzeniu mogą obowiązywać dodatkowo wymagania wskazane w innych regulacjach dotyczących określonych kategorii danych czy też określonego sektora gospodarki czy administracji. Przykładem takich regulacji są między innymi regulacje wynikające z ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114.), w tym głównie wymagania wskazane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności.
Dodaj komentarz