W ostatniej części serii dotyczącej dokumentacji z zakresu ochrony danych osobowych chciałbym przybliżyć wymogi stawiane instrukcji zarządzania systemem informatycznym („Instrukcja”). Już sam tytuł tego dokumentu sugeruje jego techniczny charakter. Nie zmienia to jednak faktu, że w dalszym ciągu, zakres Instrukcji określają odpowiednie przepisy.Każdy Administrator Danych Osobowych, który wykorzystuje systemy informatyczne w procesach przetwarzania danych osobowych winien posiadać aktualną Instrukcję. Ta bowiem w zamyśle ustawodawcy ma kompleksowo regulować kwestie związane z eksploatacją systemów informatycznych służących do przetwarzania danych osobowych, w tym związanych z:

  • nadawaniem uprawnień w systemach informatycznych
  • stosowanymi środkami uwierzytelniania użytkowników
  • procedurami rozpoczęcia, zawieszenia i zakończenia pracy z systemami
  • tworzeniem kopii zapasowych danych osobowych w postaci elektronicznej
  • przechowywaniem nośników elektronicznych zawierających dane osobowe oraz kopii zapasowych tych danych
  • stosowanymi zabezpieczeniami antywirusowymi
  • określeniem sposobu odnotowania przypadków udostępnienia danych osobowych odbiorcom
  • procedurami wykonywania przeglądów i konserwacji systemów informatycznych i stacji roboczych

Sporo… Przyjrzyjmy się więc kolejnym elementom Instrukcji.

Nadawanie uprawnień

Instrukcja winna opisywać krok po kroku procedurę nadawania uprawnień użytkownikom pracującym z systemem informatycznym. Oznacza to, że sprecyzowane powinny być w szczególności kwestie dotyczące kryteriów przyznawania uprawnień oraz określania ich zakresu. Chodzi bowiem o stworzenie jasnych, przejrzystych zasad decydowania o tym, kto i na jakich zasadach uzyskiwać będzie za pośrednictwem systemu informatycznego dostęp do danych osobowych. Kryteria te korespondować będą najczęściej z pozycją danej osoby w organizacji (np. starszy kadrowy będzie posiadał większe uprawnienia niż jego podwładni).

Wskazać należy w tej części Instrukcji osoby, które odpowiadać będą za nadawanie uprawnień, kontrolę nad ich zakresem, a wreszcie za ich wygaszanie.

Środki uwierzytelnienia

W tej części Instrukcja winna precyzować, jakie środki uwierzytelnienia stosowane są przez użytkowników systemu informatycznego. Mogą to być hasła, ale również np. dane biometryczne (odcisk palca), czy karty magnetyczne/mikroprocesorowe.

W zależności od stosowanych środków uwierzytelniania, konieczne jest doprecyzowanie parametrów tych środków. I tak, w przypadku haseł, będą to parametry w postaci: długości hasła, wymagań dotyczących wykorzystania znaków specjalnych oraz częstotliwości zmiany hasła. Parametry te określa zresztą dość precyzyjnie Załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., stanowiącego podstawę do opracowania m.in. Instrukcji.

W dalszej części Instrukcji winno się określić tryb przydzielania haseł, w tym generowania pierwszego hasła dostępu do systemu informatycznego oraz określić sposób informowania użytkownika o pierwszym haśle.

Praca z systemem informatycznym

Rozporządzenie nakłada na Administratora Danych Osobowych obowiązek sprecyzowania w Instrukcji procedur dotyczących pracy z systemami informatycznymi. Chodzi tutaj o procedury związane z rozpoczęciem, zawieszeniem i zakończeniem pracy z systemem.

Przetwarzanie danych osobowych winno odbywać się z zachowaniem ich poufności. Dlatego też, Instrukcja w tej części opisywać musi procedury postępowania z systemem informatycznym w taki sposób, aby użytkownicy stosując się do tych dyrektyw, w swej codziennej pracy nie doprowadzali do sytuacji powstania zagrożenia dla danych osobowych.

Wreszcie, winno się w Instrukcji sprecyzować procedury reagowania na incydenty związane z naruszeniem obowiązku zabezpieczenia danych osobowych w systemie informatycznym. Instrukcja wskazywać musi osoby, do których wszelkie incydenty winny być zgłaszane, a także dalsze kroki z tym związane. Zwykły użytkownik po zapoznaniu się z treścią Instrukcji musi wiedzieć jak zachować się w przypadku stwierdzenia nieprawidłowości w pracy systemu informatycznego, które mogą doprowadzić np. do wycieku danych osobowych.

Kopie zapasowe oraz sposób, okres i miejsce przechowywania kopii zapasowych oraz elektronicznych nośników danych

Część ta poświęcona winna zostać metodom sporządzania kopii zapasowych danych przetwarzanych w formie elektronicznej. Chodzi tu o wskazanie, czy odbywa się to manualnie, czy też automatycznie, a także wskazanie nośników, na których kopie są sporządzane (np. płyty DVD, przenośne pamięci USB, serwery zewnętrzne). Określić należy także częstotliwość sporządzania kopii zapasowych.

Nadto, Instrukcja wskazywać musi miejsce przechowywania kopii zapasowych, wraz z informacją o konkretnej lokalizacji (tj. również wskazanie pomieszczeń w których kopie są składowane). Dodatkowo, Instrukcja wspominać musi o stosowanych środkach zabezpieczenia tych kopii.

Zabezpieczenie przed złośliwym oprogramowaniem

Zadaniem Administratora Danych Osobowych jest przede wszystkim wskazanie źródeł potencjalnych zagrożeń dla systemu informatycznego. Pozwoli to sprecyzować w Instrukcji procedury prewencyjne, w tym stosowane w ramach tych procedur narzędzia, służące zabezpieczeniu systemu przed złośliwym oprogramowaniem.

Najpopularniejszymi środkami są tutaj wyspecjalizowane programy antywirusowe oraz stosowane procedury dostępu do stacji roboczych. Przykładem tego rodzaju procedur jest ograniczenie możliwości korzystania z przenośnych nośników danych i wydzielenie w tym celu odpowiednio zabezpieczonych stacji roboczych.

Odnotowanie udostępnienia danych

System informatyczny służący do przetwarzania danych osobowych musi, zgodnie z przepisami Rozporządzenia, odnotowywać fakt udostępnienia danych osobowych ich odbiorcom, a więc udostępnienia danych osobowych poza organizację. Instrukcja precyzować musi sposób realizacji tego wymogu.

Przeglądy i konserwacja

W końcu, Instrukcja wskazywać powinna osoby uprawnione do dokonywania przeglądów i konserwacji systemu oraz podłączonych do niego urządzeń. Nadto, w przypadku gdy do przeprowadzenia przedmiotowych prac upoważnione są osoby, które nie uzyskały upoważnienia do przetwarzania danych osobowych (gdyż brak było podstaw do jego udzielenia), Instrukcja wskazywać musi sposób nadzoru nad takimi osobami.

Powyższe uwagi mają oczywiście charakter ramowy. Opracowanie samej Instrukcji jest procesem złożonym, a sam dokument musi zostać „uszyty na miarę”. Tutaj duża jest rola prawnika oraz działu IT, który najlepiej zna stosowany w ramach organizacji system informatyczny.