Temat: Informacja publiczna - a szczegółowe dane...

Moim zdaniem w polityce nie zawierać informacji, które mówią o konkretnych zabezpieczeniach. Przeciez celem polityki bezpieczeństwa jest „jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki w zakresie zabezpieczenia danych osobowych”. Dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji.

Polska Norma PN-ISO/IEC 27001 określająca zasady zarządzania bezpieczeństwem informacji, jako cel polityki bezpieczeństwa wskazuje „zapewnienie kierunków działania i wsparcie kierownictwa dla bezpieczeństwa informacji”.

GIODO w „ABC Ochrony danych osobowych w bankowości” (s. 32) podkreśla że „pojęcie »polityka bezpieczeństwa« użyte w rozporządzeniu należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji”. 1 Na tak rozumianą politykę bezpieczeństwa składać się będzie więc wiele dokumentów. Nie wszystkie z nich musza być załącznikiem do Polityki.

Ja wiem, że rozporządzenie określa co mieć Polityka, ale w rozporządzeniu nie mówi się, że to ma być jeden dokument. Polityka może odnosić się do innych, niezależnych (w tym i poufnych) dokumentów.

Dla przykładu Komisja Nadzoru Finansowego bankom „zaleca […] rezygnację z tablic identyfikacyjnych, szyldów, wywieszek informacyjnych itp., a także umieszczania numerów telefonów w spisach telefonicznych, pozwalających na łatwe zlokalizowanie zewnętrznych i wewnętrznych pomieszczeń, w których odbywa się przetwarzanie danych.” Informacje o tym, gdzie w banku znajduje się centrum danych, gdzie przechowuje się zapasowe kopie danych i gdzie mieści się zapasowe centrum podlegają szczególnej ochronie.

Dlatego w samym dokumencie polityki lepiej bezpośrednio nie zamieszczać np. wykazu pomieszczeń w których przetwarza się dane osobowe pozostawiając zapis, który spełnia wymogi ustawy np.:

"W przedsiębiorstwie prowadzi się wykaz budynków, pomieszczeń i części pomieszczeń stanowiących obszar, w którym przetwarzane są dane osobowe. Wykaz ten jest opracowywany i przechowywany przez kierownika ds. administracji".

Temat: Informacja publiczna - a szczegółowe dane...

Leszek K.:
"W przedsiębiorstwie prowadzi się wykaz budynków, pomieszczeń i części pomieszczeń stanowiących obszar, w którym przetwarzane są dane osobowe. Wykaz ten jest opracowywany i przechowywany przez kierownika ds. administracji".

Tylko obawiam że rozwiązanie dobre choć mało skuteczne - skoro mamy takie dokumenty i są wymienione w polityce jako stworzone to również podlegają ustawie o dostępie do informacji publicznej - chyba że mają klauzulę - choć po zmianie ustawy raczej trudno będzie nadać takim dokumentom klauzulę podlegającą pod ustawę o informacji niejawnych - pułap informacji niejawnych został lekko podniesiony a spełnienie wymagań aby odpowiednio takie dokumenty przetwarzać został mocno podniesiony. Wiec jeżeli to ma byc jedyny dokument niejawny w firmie to się chyba nie uda

Temat: Informacja publiczna - a szczegółowe dane...

Roman Janas:

Peter Sojka:
W sumie chodzi mi o to jak bronic się przed żądaniem udostepnienia techniczno-organizacyjnej dokumentacji działania jednostek publicznych.

A może spróbować starego jak świat (a raczej Rzym)sposobu i opatrzeć dokumentację, a dokładniej specyfikacje zawierające dokładne informacje na temat systemu bezpieczeństwa klauzulą tajne lub conajmniej poufne. Będzie się można wtedy powołać na tajemnicę przedsiebiorstwa.

Oj.....

Tajne i poufne - ustawa o ochronie informacji niejawnych
Tajemnica przedsiębiorstwa - ustawa o zwalczaniu nieuczciwej konkurencji

Dwa różne zakresy i kategorie.

Temat: Informacja publiczna - a szczegółowe dane...

Leszek K.:

"W przedsiębiorstwie prowadzi się wykaz budynków, pomieszczeń i części pomieszczeń stanowiących obszar, w którym przetwarzane są dane osobowe. Wykaz ten jest opracowywany i przechowywany przez kierownika ds. administracji".

Dodałbym np... :
"Zasady ochrony złożonej z form organizacyjnych i technicznych przed nieuprawnionym dostępem (i inne takie) określa plan ochrony, opracowany zgodnie z przepisami ustawy o ochronie osób i mienia".

Metodyka KGP, co prawda obiektów podlegających obowiązkowej ochronie, mówi o informacjach prawnie chronionych, jako zasobie, jaki należy objąć ochroną.

Wilk syty i owca cała, a zasady ochrony w jednym kwicie. I polityki nie pokazujemy specom od fizycznej i techniki, bo mają tylko to co w planie.

Temat: Informacja publiczna - a szczegółowe dane...

Roman Janas:

Ma Pan rację. Ale w pytaniu była mowa o jednostce publicznej więc raczej chyba tylko "Tajne i poufne" i stosowna ustawa.

Ja bym dał zastrzeżone, dla załączników. Polityka niech sobie będzie ogólna, zasady etc.

A zastrzeżone nie jest wcale takie trudne do ogarnięcia, tylko wpada nam znowu dodatkowy nadzór ze strony służb bezpieczeństwa państwa. I zaczyna się zabawa o to, jak GIODO ma kontrolować, bo się może wesoło zrobić, jak wpadnie inspektor a nie będzie miał poświadczenia. I wyjdzie z kwitkiem, bo nikt nic nie pokaże ;-)))

Jeżeli chodzi o tajemnicę przedsiebiostwa to użyłem tego raczej jako przenośni. W sumie można chyba nazwać jednostke publiczną przedsiebiorstwem choć przykładowo system ochrony domu kultury (mam nadzieje że nikogo nie urażę tym porównaniem) trudno nazwać tajemnica państwową.

Już tego pojęcia nie ma w niejawnych. Ale ogólnie klasyfikowałbym to jako służbową, czyli wg starej nomenklatury - zastrzeżone lub poufne (optuję za zastrzeżonymi).

Państwowa to kiedyś tajne i ściśle tajne.

Ale jak piszę, zastrzeżone nie jest takim problemem, więc jak się da to wykorzystać można.

Natomiast idąc własnie po dygresjach, to porównałbym właśnie zastrzeżone (najniższa klauzula niejawnych) do tajemnicy przedsiębiorstwa. Choć tajemnicę robię też na klasach i zapisy szczegółowe załączników wpadają w katalog.

Natomiast sama klasyfikacja informacji jako takich, jest już w miarę "nowoczesna". Opiera się mocno o potencjalne skutki, co razem z 68 ustawy o finansach publicznych, stanowić zaczyna naprawdę fajne narzędzie profesjonalnego zarządzania bezpieczeństwem informacji.

Temat: Informacja publiczna - a szczegółowe dane...

Dzień Dobry,
Obserwuję dyskusję i z zaskoczeniem przyjmuje niektóre komentarze. Do tej pory, uważałem, że PBI/IZSI nie powinna być udostępniana i publikowana np. w BIP. A wynika to z treści zawartej w książce p. Andrzeja Drozda "Zabezpieczenie Danych Osobowych" wyd. Presscom 2008 roz. 2.2 str. 66/67, cyt: "Niezależnie od tego, czy dokumentacja z zakresu ochrony danych osobowych zostanie zaklasyfikowana jako objęta tajemnicą służbową, czy też nie, nie powinna być publikowana w Biuletynie Informacji Publicznej. Na podstawie art. 5 ust. 1 ustawy z 6 września 2001r. o dostępnie do informacji publicznej w zw. z art.39 ust.2 uodo dokumentacja z zakresu ochrony danych osobowych nie powinna być publikowana w trybie określonym w ustawie o dostępie do informacji publicznej, ponieważ jest objęta tajemnicą ustawowo chronioną (tajemnica danych osobowych) i prawo do informacji publicznej podlega ograniczeniu w tym zakresie"

Jak na taki komentarz zapatrujecie się Panowie?

Temat: Informacja publiczna - a szczegółowe dane...

Trochę podstawy prawnej brak (poza klasyfikowaniem jako niejawne).

Informacja publiczna w założeniu ma być sposobem na możliwość sprawdzenia działania urzędu. I tu nie widzę żadnego problemu z publikacją, które mówi o pewnym sposobie postępowania, bo ogólny zarys postępowania z danymi osobowymi znajduje się i w ustawie i w rozporządzeniu.

Co do szczegółowej organizacji i zasad, trudno mi jest doszukać się powodu, dla którego sposób organizowania ochrony jako takiej miałby być utajniany. Informacja publiczna i publikacja takich informacji ma na celu przecież wskazanie i udowodnienie, że dane są przetwarzane w sposób prawidłowy i zgodny z aktualnym stanem prawnym (transparentność urzędów).

Natomiast co do szczegółowych zasad realizowanej ochrony, elementów systemu zabezpieczeń w ogóle nie wrzucałbym do polityki bezpieczeństwa, a jak już napisałem, do dokumentu o trochę innym charakterze, który spisuje zasady organizacji bezpieczeństwa. I dla niego szukał zakresu ochrony - o co już moim zdaniem prościej.

Żeby jeszcze wyjaśnić bardziej mój tok myślenia. Polityka plus instrukcja to zapisy o charakterze organizacyjnym (wskazujące na konkretny tok postępowania, osoby uczestniczące etc - w zależności od konstrukcji). Wiele z tych informacji znajdziemy w regulaminie organizacyjnym czy statucie konkretnej jednostki organizacyjnej. I tu kolejna analogia do tajemnicy przedsiębiorstwa - warto zastosować. TP jest wszelka informacja (...) nie podana do publicznej wiadomości. Czyli może zanim poutajniamy politykę i instrukcję, warto sobie zadać trochę trudu i sprawdzić, czy nie utajniamy zakresu ujawnionego w innym dokumencie.

Natomiast dokument taki jak plan ochrony, czy instrukcja ochrony, są dokumentacją, która powinna "układać" organizację ochrony wszystkich zasobów, jakie mamy w danym "obiekcie" lokalizacji, obszarze. W nim, w części 6 znajduje się organizacja ochrony fizycznej, ze wskazaniem, które pomieszczenia należy objąć szczególnym nadzorem, w nim znajduje się instrukcja ruchu osobowego (i zasady udzielania dostępu tymczasowego, jednorazowego etc) - tyle że często w części 7.

Dalej - w części 5 planu, jest informacja o stosowanym zabezpieczeniu technicznym, czyli ni mniej ni więcej:

systemy alarmowe - kontrola dostępu, sygnalizacja włamania i napadu, sygnalizacja pożaru, cctv (tv przemysłowa)

systemy zabezpieczeń mechanicznych - drzwi, okna, zamki, furty, bramy, żaluzje, z odpowiednimi klasami odporności na włamanie, ręczny atak etc,

zabezpieczenia budowlane - stropy, ściany etc (częściej do zagrożeń miejscowych, pożarów)

Po tym przydługim wprowadzeniu. System bezpieczeństwa złożony z fizycznej (rozdział 6) techniki (rozdział 5) wsparty rozwiązaniami organizacyjnymi (np 7 - instrukcje i procedury, w tym np na włamanie do pomieszczenia zawierającego dane osobowe) na każdym praktycznie obiekcie istnieje. W każdym praktycznie obiekcie użyteczności publicznej jest fizyczna i techniczna, z tymi zasadami, choć czasem brakuje planu (nie jest obowiązkowy wszędzie). Ale jest tam instrukcja ochrony, która wypełnia cele postawione przed planem.

I często są to dokumenty już zastrzeżone. A na pewno zawierające informacje nie o ochronie przewidzianej dla danych osobowych, a dla wszystkich zasobów organizacji, w którym zasoby informacyjne są jednym z chronionych obszarów, a w informacyjnych znajdują się jako podgrupa - dane osobowe.

Sorki znowu pojechałem ... Strasznie nudzę - wiem ;-)))

To jak już nudzę, do tego w planie ochrony jest analiza zagrożeń. jako cześć, wraz ze stanem. A niestety nie widziałem zbyt wielu polityk z analizą zagrożeń, mimo, że... coś powinno byc w tym zakresie robione. ;-))) Rozwinę jak wrócę do kompa.

Ale już na koniec - może warto zintegrować z innym zakresem - art 68 ustawy o finansach publicznych i zakresem kontroli zarządczej, konkretnie z szacowaniem i zarządzeniem ryzykiem? Bo te wszystkie nasze zabezpieczenia powinny minimalizować ryzyka... utraty poufności, integralności, rozliczalności danych.