Obowiązki administratora
systemów informatycznych

blog-141Na wstępie należy zaznaczyć, że żadne regulacje prawne określające sposób zarządzania i zabezpieczania danych osobowych w organizacji nie przewidują powołania osoby na stanowisku ASI.

Zarówno Europejskie Rozporządzenie o Ochronie Danych Osobowych (RODO), jak również Ustawa o Ochronie Danych Osobowych określa jedynie definicję funkcji administratora danych, osób upoważnionych oraz opcjonalnie przewiduje powołanie inspektora ochrony danych (IOD).

Skąd w takim razie wzięło się pojęcie ASI?

Kim jest oraz skąd wzięło się pojęcie administratora systemów informatycznych (ASI)?

Otóż jest to funkcja, która została wypracowana i uznana za niezwykle ważną w poprzednim stanie prawnym, obowiązującym przed 25 maja 2018r. Jak pokazała praktyka osoba piastująca funkcję IOD w organizacji bardzo często nie posiada wystarczającej wiedzy w tematyce dotyczącej zabezpieczeń teleinformatycznych oraz nie wie jakie środki techniczne i organizacyjne w danym przypadku będą odpowiednie. W związku z tym w strukturze zespołu zajmującym się wdrożeniem lub utrzymaniem systemu ochrony danych osobowych pojawił się ASI. Osoba pełniąca taką funkcję powinna być poniekąd narzędziem w ręku IOD oraz na bieżąco współpracować z inspektorem ochrony danych dbając tym samym o bezpieczeństwo przetwarzanych danych pod kątem teleinformatycznym.  Czy w związku z tym administratorem systemów informatycznych może zostać każdy? Co należeć będzie do jego obowiązków?

Jakie wymagania musi spełnić osoba wyznaczona na funkcję ASI?

Osobą pełniącą funkcję administratora systemów informatycznych może być pracownik zatrudniony w firmie na podstawie umowy cywilno-prawnej lub umowy o pracę (osoba z wewnątrz organizacji) lub ktoś spoza niej (tzw. outsourcing ASI). Należy zaznaczyć, że taka osoba powinna przede wszystkim posiadać odpowiednią wiedzę w zakresie IT ale również być na bieżąco w temacie nowych zagrożeń oraz pojawiających się na rynku rozwiązań w tematyce bezpieczeństwa informacji. Celem uzyskania fachowej wiedzy w tej materii wskazane są szkolenia oraz uczestnictwa w konferencjach i innych spotkaniach dotyczących takich zagadnień. Nie powinniśmy zapominać również o formalnościach związanych z pełnieniem funkcji administratora systemów informatycznych. Jeśli będzie to osoba z wewnątrz organizacji powinno zostać jej nadane upoważnienie do przetwarzania danych osobowych. W sytuacji, gdy taką funkcję zdecydujemy się wyoutsourcować do podmiotu zewnętrznego, niezbędnym będzie aby w umowie z firmą świadczącą tego rodzaju usługi zawrzeć stosowne zapisy dotyczące powierzenia przetwarzania danych osobowych (draft takiej umowy umieszczamy tutaj ). W obydwu przypadkach powinno się  zadbać również o to, aby w umowie lub w innych regulacjach określających rodzaj współpracy dołączyć zapisy dotyczące zachowania poufności danych.

Dyrektywa NISCzym zajmuje się administrator systemów informatycznych?

Podstawowym zadaniem ASI jest współpraca z inspektorem ochrony danych w zakresie kontroli nad przestrzeganiem zasad ochrony danych osobowych pod kątem zabezpieczeń teleinformatycznych, w tym m.in.:

  •  Współpraca przy przygotowaniu, wdrażaniu oraz respektowaniu przez pracowników dokumentacji ochrony danych osobowych, w szczególności instrukcji zarządzania systemem informatycznym. RODO w przeciwieństwie do poprzedniego stanu prawnego nie wskazuje wprost jaki zakres procedur w ramach takiego dokumentu byłby wystarczający. Przepisy naciskają jednak na tzw. zasadę rozliczalności zgodnie, z którą to administrator danych jest zobowiązany wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne i musi być w stanie to wykazać na wypadek ewentualnej kontroli. Co więcej w motywie 78 RODO znajdziemy informację o tym, że organizacje powinny przyjąć odpowiednie polityki. Kwestią niejasną jest nadal ich zakres. W tym względzie wypowiedział się Prezes Urzędu Ochrony Danych Osobowych wskazując, które obszary należy uregulować poprzez zabezpieczenie organizacyjne w postaci formalnie przyjętej przez organizację dokumentacji tj.
  • Współpraca przy przygotowaniu, wdrażaniu oraz respektowaniu przez pracowników dokumentacji ochrony danych osobowych, w szczególności instrukcji zarządzania systemem informatycznym. RODO w przeciwieństwie do poprzedniego stanu prawnego nie wskazuje wprost jaki zakres procedur w ramach takiego dokumentu byłby wystarczający. Przepisy naciskają jednak na tzw. zasadę rozliczalności zgodnie, z którą to administrator danych jest zobowiązany wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne i musi być w stanie to wykazać na wypadek ewentualnej kontroli. Co więcej w motywie 78 RODO znajdziemy informację o tym, że organizacje powinny przyjąć odpowiednie polityki. Kwestią niejasną jest nadal ich zakres. W tym względzie wypowiedział się Prezes Urzędu Ochrony Danych Osobowych wskazując, które obszary należy uregulować poprzez zabezpieczenie organizacyjne w postaci formalnie przyjętej przez organizację dokumentacji tj.
    •  zarządzanie aktywami,
    • kontrola dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
    • środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
    • bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
    • bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
    • pozyskiwanie, rozwój i utrzymywanie systemów,
    • relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
    • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
    • zarządzanie ciągłością działania,
    • zgodność z wymaganiami prawnymi i umownymi.
  • Współpraca przy przeprowadzaniu okresowych sprawdzeń, czyli nic innego jak monitorowanie przestrzegania RODO, w tym działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Poza obowiązkiem realizacji powyższych czynności przez IOD (art. 39 ust. 1 lit. b) w przepisach nie znajdziemy informacji na temat częstotliwości takich działań. Praktyka stosowania przepisów o ochronie danych osobowych z poprzedniego stanu prawnego wykazała jednak, że w związku z często spotykanymi trudnościami i czasochłonnością wprowadzania odpowiednich zabezpieczeń lub ich modyfikacji, ale przede wszystkim w związku z błyskawicznie pojawiającymi się nowymi zagrożeniami i tempem rozwoju technologii takie sprawdzenie w systemach informatycznych powinno być realizowane nie rzadziej niż raz na 12 miesięcy.
  • Współpraca podczas przeprowadzania procesu analizy ryzyka wynikiem, której powinny byćobszary lub też zasoby, które nie są zabezpieczone lub zastosowane wobec nich zabezpieczenia nie są wystarczające. Mowa o zasobach, które powodują największe prawdopodobieństwo zmaterializowania się przyjętych zagrożeń w organizacji, a tym samym z ich wykorzystaniem wiąże się wysokie ryzyko dla danych osobowych. W RODO nie znajdziemy informacji o częstotliwości wykonywania takiego procesu, gdzie zostało wskazane jedynie, iż nie jest to czynność jednorazowa, a proces ciągły. W tym zakresie wypowiedziały się Wytyczne Grupy Roboczej art. 29 wskazując, iż proces analizy ryzyka powinien być wykonywany nie rzadziej niż co 3 lata.
  • Zapewnienia ciągłości działania systemu, w tym zabezpieczenie zbiorów danych oraz programów służących do przetwarzania danych osobowych poprzez systematyczne wykonywanie kopii zapasowych. Oprócz samego wykonania ww. procesu ASI powinien zadbać, aby wykonane kopie zapasowe przechowywać w miejscu zabezpieczającym je przed nieuprawnionym dostępem , modyfikacją, uszkodzeniem lub zniszczeniem. W praktyce, najczęściej do utrwalania tak ważnych danych w  organizacji służą zaszyfrowane nośniki zewnętrzne, które następnie przechowywane są w zabezpieczonym przed dostępem osób nieupoważnionych miejscu, w innej strefie pożarowej niż dane oryginalne. Odstępstwem od stosowania tej reguły jest wykorzystanie do tego celu sejfu/szafy ogniotrwałej. Więcej na temat wykonywania oraz odpowiedniego zabezpieczenia kopii zapasowych znajdziecie Państwo w artykule „Backup polisą ubezpieczeniową XXI w. oraz „Backup polisą ubezpieczeniową XXI w. – rodzaje kopii zapasowych i ich zastosowanieUsługa DPIA.
  • Zapewnienie awaryjnego źródła zasilania oraz zabezpieczenia przed zakłóceniami w sieci zasilającej systemów informatycznych służących do przetwarzania danych osobowych, których nagła przerwa w pracy mogłaby spowodować utratę danych lub naruszenie ich integralności. Do tego celu najczęściej wykorzystywane jest urządzenie typu UPS, które podtrzymuje sieć oraz serwery przynajmniej krytycznych systemów do czasu ich bezpiecznego wyłączenia. Warto, aby oprócz wdrożenia systemu powiadamiania osób upoważnionych o przełączeniu infrastruktury na awaryjne źródło zasilania, system skonfigurować w taki sposób, aby jego bezpieczne wyłączenie w tym przypadku nastąpiło automatycznie.
  • Nadzór nad naprawą oraz likwidacją urządzeń komputerowych. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji, naprawy lub do przekazania podmiotowi nieuprawnionemu do  przetwarzania danych administratora pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie.
  • Kontrola przeglądu i konserwacji systemów informatycznych służących do przetwarzania danych osobowych, w tym m.in. wykorzystywanie jedynie oprogramowania posiadającego wsparcie producenta oraz systematyczne, automatyczne lub zgodne z biuletynem bezpieczeństwa jego aktualizowanie. Warto zaznaczyć, że taki proces nie powinien dotyczyć jedynie wszystkich systemów wykorzystywanych na urządzeniach serwerowych oraz stacjach roboczych ale też na wszelkiej maści routerach, czy zarządzalnych przełącznikach sieciowych.
  • Zabezpieczenie systemów służących do przetwarzania danych osobowych przed działaniem oprogramowania złośliwego, którego celem może okazać się uzyskanie nieuprawnionego dostępu do danych. Chodzi oczywiście o nic innego, jak o zastosowanie systemu antywirusowego, korzystającego z aktualnej bazy wirusów. Przy wdrażaniu tego rodzaju zabezpieczenia ASI powinien wziąć pod uwagę wszystkie systemy teleinformatyczne używane w organizacji, również te które znajdują się na służbowych smartfonach, czy tabletach
  • Dostosowanie systemów informatycznych służących do przetwarzania danych osobowych
    do wymogów RODO w tym m.in.:
    • zapewnienie możliwości realizacji prawa do przenoszenia danych,
    • zapewnienie możliwości realizacji prawa do ograniczenia przetwarzania,
    • zapewnienie możliwości realizacji prawa do bycia zapomnianym,
    • zapewnienie możliwości realizacji prawa do zgłoszenia sprzeciwu wobec realizowanych działań marketingowych, gdzie w ramach zasady rozliczalności warto pamiętać o zapewnieniu możliwości zweryfikowania dokładnej godziny i daty, kiedy zgoda została wyrażona lub wycofana.
  • Zabezpieczenie pomieszczeń, w których przetwarzane są dane osobowe, w szczególności archiwów, szachtów sieciowych lub serwerowni przed dostępem osób nieuprawnionych
    lub innymi zdarzeniami losowymi, w tym m.in. zabezpieczenia:
    • fizyczne (drzwi, ściany, stropy itp.),
    • techniczne (elektroniczne systemy zabezpieczeń),
    • środowiskowe (zapewnienie optymalnych warunków pracy urządzeń i ochrona przeciwpożarowa),
    • personalne (pracownicy ochrony, świadomy personel przedsiębiorstwa),
    • organizacyjne (obowiązujące w przedsiębiorstwie regulaminy, polityki itp.),
    • do szczegółów możliwości stosowanych zabezpieczeń odsyłam do artykułu „Jak zabezpieczyć pomieszczenie serwerowni?”.
  • Ochrona przed zagrożeniami pochodzącymi z sieci publicznej
    poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, w tym m.in
    • firewalle,
    • filtry antyspamowe,
    • wydzielanie VLAN’ów
    • stosowanie filtracji urządzeń, które mogą uzyskać dostęp do sieci produkcyjnej,
    • stosowanie wielu innych rozwiązań z uwzględnieniem dostępnych technologii oraz dostępnych środków finansowych.

Strefa RODO

Czy to wszystkie obowiązki administratora systemów informatycznych?

Odpowiadając na pytanie: niestety nie…. Wszystkie wymienione wyżej punkty to tylko podstawowe zadania administratora systemów informatycznych, który we współpracy z inspektorem ochrony danych powinien sprawować ogólny nadzór nad bezpieczeństwem organizacyjnym, fizycznym oraz technicznym w całej organizacji. Warto zaznaczyć, że w większości podmiotów przetwarzających dane osobowe zakres wdrażanych i nadzorowanych przez ASI zabezpieczeń często wykracza poza przepisy ochrony danych osobowych, a dobre praktyki zaciągane są z innych regulacji jak np. międzynarodowa norma PN-EN ISO/IEC 27002:2017 , w której można znaleźć wiele ciekawych informacji w tematyce bezpieczeństwa.

-
4.54/5 (37) 1
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Damian Gąska
20 marca 2017

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się