Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.10.2017

Ultrapanorama

Philips 492P8
13.10.2017

Druk w bieli

Oki Pro8342WT
11.10.2017

PolCAAT’ 2017 już w...

30 listopada 2017 r. w warszawskim hotelu Marriott odbędzie się XIII edycja konferencji...
10.10.2017

Pełna ochrona

Kaspersky Total Security 2018, Internet Security 2018
06.10.2017

Przeprowadzka do chmury

Oracle Exadata Cloud
03.10.2017

Automatyzacja...

Red Hat Ansible
02.10.2017

Bezpieczeństwo danych zaczyna...

Aby zapewnić bezpieczeństwo danych, w tym informacji poufnych o klientach i pracownikach,...
27.09.2017

Dotykowe 75 cali

BenQ RP750K
22.09.2017

Wydajne CPU

AMD Ryzen Threadripper

Rodo – podstawowe zasady, dobre praktyki

Data publikacji: 08-05-2017 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Od momentu pojawienia się nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo), powstało wiele pytań dotyczących sposobu realizacji zapisanych w nim wymagań.


Wiele pytań zadają sobie przede wszystkim specjaliści IT. W jaki sposób najlepiej realizować ochronę w systemach? Które z zabezpieczeń będą obligatoryjne? Które można będzie stosować adekwatnie do danego środowiska informatycznego? To tylko kilka z nich. Z rodo wynika bowiem konieczność zapewnienia ochrony danym osobowym, przetwarzanym w naszej organizacji zarówno w systemach, jak i poza nimi. Należy zapewnić bezpieczeństwo przetwarzanych informacji odpowiednie do poziomu wymagań posiadanych zbiorów danych osobowych.

Adekwatność zabezpieczeń powinna uwzględniać zapewnienie poufności, integralności oraz dostępności tego typu przetwarzanych zasobów. Ochrona powinna zabezpieczać je zarówno przed nieuprawnionym dostępem, jak i dotyczyć sprzętu służącego do przetwarzania danych osobowych. Dobór zabezpieczeń powinien uwzględniać bieżący stan wiedzy technicznej w technologiach informatycznych oraz koszty ich wdrożenia. Ostatecznie wybór zabezpieczenia powinien być adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wspomnianych czynników oraz charakteru danych osobowych.

> WYMAGANIA

Wymagania dla bezpieczeństwa danych osobowych zostały zapisane w Sekcji 2 rodo. Podstawowym wymaganiem jest bezpieczeństwo przetwarzania, a organizacja powinna wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający oszacowanemu ryzyku dla danych osobowych. Zgodnie z rodo ryzyko powinno być adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych.

W praktyce organizacje przetwarzające dane osobowe mają obowiązek wdrożenia dwóch rodzajów zabezpieczeń: organizacyjnych oraz technicznych. Dobierając zabezpieczenia, należy kierować się dobrymi praktykami w danej dziedzinie, normami oraz standardami wykorzystywanymi w obrocie profesjonalnym. Gdy mówimy o zabezpieczeniach danych w systemie informatycznym, nie są nimi tylko firewall, identyfikator i hasło potrzebne do uwierzytelnienia użytkownika do zasobów. Zapewnienie bezpieczeństwa danych w systemie informatycznym to także zastosowanie środków organizacyjnych, fizycznych i technicznych w celu zabezpieczenia ich przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ponadto w sytuacji, w której jest to niezbędne, należy rozważyć wdrożenie odpowiednich polityk ochrony danych, przez co rozumiane są przede wszystkim procedury, regulaminy i kodeksy postępowania.

> ZABEZPIECZENIA ORGANIZACYJNE

Zacznijmy od odpowiedzialności za bezpieczeństwo danych w systemie informatycznym. Zgodnie z rodo kluczową postacią w systemie nadzoru nad bezpieczeństwem danych osobowych jest inspektor ochrony danych. Rodo określa warunki jego powołania, status oraz zadania. Powinien on posiadać m.in. wystarczającą wiedzę o systemach informatycznych oraz o potrzebach w zakresie bezpieczeństwa i ochrony danych w tych systemach. W przepisach rodo nie wspomina się o administratorach systemów informatycznych (ASI) lub podobnym podmiocie, więc wyznaczenie osób prowadzących techniczny nadzór nad bezpieczeństwem danych w systemach informatycznych będzie zależało od decyzji kierownictwa firmy.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/ IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"