Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Rodo – podstawowe zasady, dobre praktyki

Data publikacji: 08-05-2017 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Od momentu pojawienia się nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo), powstało wiele pytań dotyczących sposobu realizacji zapisanych w nim wymagań.


Wiele pytań zadają sobie przede wszystkim specjaliści IT. W jaki sposób najlepiej realizować ochronę w systemach? Które z zabezpieczeń będą obligatoryjne? Które można będzie stosować adekwatnie do danego środowiska informatycznego? To tylko kilka z nich. Z rodo wynika bowiem konieczność zapewnienia ochrony danym osobowym, przetwarzanym w naszej organizacji zarówno w systemach, jak i poza nimi. Należy zapewnić bezpieczeństwo przetwarzanych informacji odpowiednie do poziomu wymagań posiadanych zbiorów danych osobowych.

Adekwatność zabezpieczeń powinna uwzględniać zapewnienie poufności, integralności oraz dostępności tego typu przetwarzanych zasobów. Ochrona powinna zabezpieczać je zarówno przed nieuprawnionym dostępem, jak i dotyczyć sprzętu służącego do przetwarzania danych osobowych. Dobór zabezpieczeń powinien uwzględniać bieżący stan wiedzy technicznej w technologiach informatycznych oraz koszty ich wdrożenia. Ostatecznie wybór zabezpieczenia powinien być adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wspomnianych czynników oraz charakteru danych osobowych.

> WYMAGANIA

Wymagania dla bezpieczeństwa danych osobowych zostały zapisane w Sekcji 2 rodo. Podstawowym wymaganiem jest bezpieczeństwo przetwarzania, a organizacja powinna wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający oszacowanemu ryzyku dla danych osobowych. Zgodnie z rodo ryzyko powinno być adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych.

W praktyce organizacje przetwarzające dane osobowe mają obowiązek wdrożenia dwóch rodzajów zabezpieczeń: organizacyjnych oraz technicznych. Dobierając zabezpieczenia, należy kierować się dobrymi praktykami w danej dziedzinie, normami oraz standardami wykorzystywanymi w obrocie profesjonalnym. Gdy mówimy o zabezpieczeniach danych w systemie informatycznym, nie są nimi tylko firewall, identyfikator i hasło potrzebne do uwierzytelnienia użytkownika do zasobów. Zapewnienie bezpieczeństwa danych w systemie informatycznym to także zastosowanie środków organizacyjnych, fizycznych i technicznych w celu zabezpieczenia ich przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ponadto w sytuacji, w której jest to niezbędne, należy rozważyć wdrożenie odpowiednich polityk ochrony danych, przez co rozumiane są przede wszystkim procedury, regulaminy i kodeksy postępowania.

> ZABEZPIECZENIA ORGANIZACYJNE

Zacznijmy od odpowiedzialności za bezpieczeństwo danych w systemie informatycznym. Zgodnie z rodo kluczową postacią w systemie nadzoru nad bezpieczeństwem danych osobowych jest inspektor ochrony danych. Rodo określa warunki jego powołania, status oraz zadania. Powinien on posiadać m.in. wystarczającą wiedzę o systemach informatycznych oraz o potrzebach w zakresie bezpieczeństwa i ochrony danych w tych systemach. W przepisach rodo nie wspomina się o administratorach systemów informatycznych (ASI) lub podobnym podmiocie, więc wyznaczenie osób prowadzących techniczny nadzór nad bezpieczeństwem danych w systemach informatycznych będzie zależało od decyzji kierownictwa firmy.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/ IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"