Temat: ABI - jak ustawa powinna definiować zadania i uprawnienia...
Michał L.:
Ale do rzeczy, wspominasz, że masz kilkanaście wzorów polityk i udało się zejść do 15 stron plus instrukcje/procedury. Założę się, że także w tych politykach nie ma odpowiedzi na wszystkie pytania i nie ma opisanych wszystkich sytuacji, bo taki dokument musiałby mieć kilkadziesiąt stron, jak nie wiecej ;-)
Polityka ma 15 stron. Instrukcje łącznie około 70. Nie ma potrzeby, żeby zwykły pracownik czytał co zrobić, w przypadku zmian w zbiorze, czy tworzeniu nowego. Nie interesują go też sposoby prowadzenia zmiany w aranżacji pomieszczeń, ani zmiana biura - co wpływa na obszar przetwarzania. Ma dostać informację, że się zmieniło.
I tak - przewidziana są praktycznie wszystkie przypadki. Niektóre e-numeratywnie wyliczone, inne mniej prawdopodobne, jako skutki.
Zresztą taki dokument jak polityka często jest dokumentem dość ogólnym a dopiero instrukcje, itp. zawierają szczegółowe infromacje. Jest to jak najbardziej zasadne, bo w wielu dużych firmach (czy urzędach), takie polityki bezpieczeństwa zna może kilka osób na kilkaset. W korporacjach "na wejściu" otrzymuje się kilkanaście różnych polityk, procedur, zasad, technik, kodeksów, itp. i sprzedażowiec raczej będzie zgłębiał politykę sprzedaży, premiowania i bonusów, używania samochodu służbowego i komórki, niż kilkadziesiąt stron naszej polityki. Stąd lepszym jest przygotowywanie mniejszego dokumentu ale treściwego i szkolenie na którym w bezpośredniej rozmowie można wiele wyjaśnić. Jest to lepsze niż rzucenie "w folderze xyz masz polityki i sobie poczytaj" ;-)
Na pewno jest tak, że dostaje się na wejściu i ma się czas przeczytać? Śmiem wątpić. A nawet nie śmiem - stawiam zupełnie odwrotną tezę, większość takich dokumentów nie jest czytana.
Przykład z twojej dawnej firmy - pamiętasz kartę zapoznania się z aktem prawnym?
Więc z jakiego powodu w korporacjach miałoby być inaczej?
Na wejściu, robiąc audyt w jednej z firm, nie wiem, czy już można ją do korporacji czy nie, wyszło, że w ciągu 8 godzin na induction day - czyli dniu wprowadzenia w firmę człowiek miał przeczytać 700 stron łącznie wszystkich zasad i regulaminów.
Może inaczej. Jakie obowiązki ciążą na ado? Podstawowy - zabezpieczania. W jaki sposób? Zgodnie z ustawą a ustawa odsyła do rozporządzenia. Jeśli zatem ado naruszy swój obowiązek (także nieumyślnie), to grozi mu kara. I teraz o ile wg art. 52 karalne jest naruszenie obowiązku to wg 51 już samo stworzenie możliwości dostępu dla osoby nieupoważnionej.
Możliwość dostępu, a nie zapisy rozporządzenia. Pisałem już o tym, które to są, nie będę się powtarzał. Nadal sankcje są na zasadzie interpretacyjnej, a prosiłem bez interpretacji.
Tak przy okazji "stwarzania możliwości", to podczas dyskusji ACTA był spór o słowo "domniemane naruszenie" i te same słowa pojawiają się w rozporządzeniu unijnym o.d.o. Z tym, że porównując wersje angielską, niemiecką i francuską, moim zdaniem właściwsze jest "zarzucane naruszenie". Zarzucać komuś czyn zabroniony a domniemywać jego popełnienie, to jest różnica.
Zdaje się domniemanie w prawie nieco inaczej jest rozumiane jak w języku potocznym.
Dwie kwestie zasadnicze:
1. Specjaliści od bezpieczeństwa są specjalistami a nie zarządzającymi firmą. Czyli nie oni są od podejmowania decyzji i orzekania, które z ryzyk jest istotniejsze. Są od przedstawienia ryzyk, omówienia i uzyskania jasnej informacji od zarządzającego - w którym kierunku iść. Co do ISO. Niespełnienie wymagań któregokolwiek ISO może spowodować wykreślenie z listy dostawców, nawet globalnych. Strata może być kilka, kilkanaście a nawet kilkadziesiąt razy większa niż kara nałożona przez jakikolwiek organ. Więc z tymi porównaniami mimo wszystko bym uważał. Kara od GIODO - to kasa. Kara od odbiorcy, za brak certyfikatu (oczywiście uproszczenie) - smutne zakończenie działania firmy lub bardzo poważne ograniczenie (oczywiście przy spełnieniu pewnych okoliczności).
Również dwie zasadnicze kwestie:
1. język niestety ale często nie oddaje sensu. Zwłaszcza polski. Mówisz o "specjaliście od bezpieczeństwa", jako stanowisku konkretnej osoby, czy o konkretnej osobie wykazującej się wiedzą specjalistyczną/ekspercką, bo to nie zawsze idzie w parze ;-)
Język polski jest bardzo czytelny. Tylko nie trzeba szukać drugich i ukrytych znaczeń. Odpowiedź na twoje pytanie jest w treści. Który z tych rodzajów, które sobie utworzyłeś będzie tym "specjalistą" który przedstawi wynik szacowania ryzyka?
To tak jak z bezpieczeństwem informacji w większości dotyczącym wyłącznie strony informatycznej a różnica jest poważna. Słowo "informacja" jest pojęciem znacznie szerszym i starszym od "informatyczny", bowiem informacje to nie tylko dane informatyczne.
Według Słownika Wyrazów Obcych: „łac. informatio – pomysł, wyobrażenie, wizerunek, pot. wiadomość; od łac. informare – wymyśleć, spisać, formować”. Słownik Psychologii definiuje informacje jako: „jakikolwiek materiał, zawierający jakąkolwiek treść”. Natomiast według Leksykonu Menedżera informacje to: „gromadzone i rozpowszechniane w organizacji dane o określonych zjawiskach, niezbędne do określenia celów organizacji, jej zadań oraz podejmowania decyzji”.
Wystarczy też sięgnąć do ustawy o usługach detektywistycznych, w której w art. 2 definuje się usługi detektywistyczne jako, cyt.: "czynności polegające na uzyskiwaniu, przetwarzaniu i przekazywaniu informacji o osobach, przedmiotach i zdarzeniach".
Zatem nasz specjalista bezpieczeństwa informacji w odróżnieniu od specjalisty bezpieczeństwa systemu informatycznego będzie odpowiadał za bezpieczeństwo wszelkich informacji przekazywanych w każdej formie. I tu dochodzimy do ochrony danych osobowych, które także mogą być w dowolnej formie przetwarzane (poza przekazem ustnym bez odnotowania) a nie tylko w systemie informatycznym. Przykładem mogą być sterty segregatorów np. ze szkoleń BHP lub karty wypadkowe.
Całkowicie nie rozumiem tego wywodu. Z bezpieczeństwem informacji pracuję od 12 lat, zaczynając od niejawnych, zaraz po zmianie ustawy, dane osobowe robię od czasów pierwszej kadencji pani Kuleszy. A to były czasy, gdzie komputery... cóż, w bardzo małym stopniu funkcjonowały, a do tego do niejawnych prawie że nie było szans żeby któryś dostał dopuszczenie bez klatki Faradaya. Więc jeśli ta wrzutka do dyskusji, to chyba tak sobie w kosmos, albo jako nowy wątek tworzysz.
Dam ci jeszcze jeden argument, którego używam, jak mi IT za bardzo zaczyna ustawiać bezpieczeństwo informacyjne (nie tylko informacji naszych) w firmie. Sprawdź który komitet w ISO i w naszym PKN odpowiedzialny jest za rodzinę norm 27000. I prościej i bardziej dla zarządów przekonywujące - co jest w każdym tytule tej normy: "Technika informatyczna".
Z tego powodu uważam, ze dawne dyskusje - ABI lepszy prawnik, czy IT, w tak postawionym pytaniu - zawsze prawnik.
2. Przepraszam ale czy dostawca, który dowie się o karze np. 1 mln eur lub 2% rocznego globalnego obrotu, nałożonej na kontrahenta za nieprzestrzeganie zasad bezpieczeństwa danych osobowych (w pewnym sensie i informacji), także takiego skreślenia nie może dokonać? Wskazane w rozporządzeniu kary np. te 2% rocznego globalnego obrotu może być porównywalną stratą ale to nie jest wszystko. Publikując dane o karze ale i o wycieku danych, cierpi takze wizerunek firmy więc i dodatkowe potężne straty. Piszesz o karze od GIODO ale to nie jedyne kary na jakie się taka firma może narazić, włączając w to koszty odszkodowania dla osoby lub osób poszkodowanych.
Ale to nie wyścigi o wyższości ISO nad ochroną prywatności, która i tak jest wyższym dobrem, bo zapisanym w Konstytucji ;-) Wracajmy do tematu.
Żaden wyścig. Norma mówi o spełnieniu trzech zakresów wymagań:
1. Wymagań klienta - i to jest to co jest na audytach referencyjnych (drugiej strony)
2. wymagań organizacji - bo ona jest do generowania zysku.
3. Wymagań ... prawnych.
I to jest to co pisałem wcześniej. Uświadomienie. A o normach, zwłaszcza ISO 9001 powinniśmy dyskutować, bo są sojusznikiem w zakresie zgodności z UODO. Widać to jest w momencie jak się nieco pochylimy z nowym klientem, z jego zarządem nad deklaracjami z polityce jakości, zgodnej z wymaganiami normy i dojdziemy do punktu - wymagania.
Nacisk zarządów na natychmiastowe uregulowanie kwestii danych osobowych jest wprost proporcjonalny do czasu jaki pozostał do audytu nadzoru, audytu certyfikacyjnego, czy recertyfikacji. Ponieważ brak spełnienia tych wymagań może skutkować cofnięciem już przyznanego, a w przypadku certyfikacji lub recertyfikacji, wykazaniem niezgodności, która uniemożliwia uzyskanie "kwitka".
Sojuszników nigdy za wiele.
Z innej strony, czy ABI lub IOD to mają być jedyne osoby od bezpieczeństwa danych osobowych? Z jednej strony - może tak być, bo wdrożony prawidłowo system wymaga do jego obsługi minimalnych nakładów czasowych w miesiącu i nie jest to etat. Z drugiej strony, skupienie w jednej osobie działań - też nie jest za bardzo sensowne, bo wyjdzie znowu pan Miecio z BHP.
Ja uważam tak jak napisałem, czyli podobnie jakw rozporzadzeniu. Jeśli duża organizacja z dużą ilością przetwarzanych do. to tak, IDO jest konieczny bo może mieć na prawdę sporo pracy i musi byc włączany w wiele procesów. W przypadku mniejszych rozporządzenie UE daje możliwość jednego IDO dla kilku ado. Generalnie IDO jest potrzebny i ważne aby miał szacunek, jak i każdy, bo czasami i od niego coś może zależeć.
Cóż. Ja jednak pozostanę przy swoim stwierdzeniu, że ADO i IDO nie powinny być
jedynymi osobami, na których spoczywają obowiązki związane z utrzymaniem systemu ochrony danych osobowych. Bo taka była treść mojej wypowiedzi. Teraz rozwinę.
Tworzenie zewnętrznych działów, do nadzoru, przestrzegania etc moim zdaniem nie sprawdza się. Nie wiem, czy to kwestia genów w naszym narodzie, czy kwestia czegoś innego.
Analogia - ograniczenie prędkości. Polska to kraj absurdów w tym kontekście. Znak drogowy nie jest wystarczającym bo jak widać z prawa, jak już się fotoradar tam ustawi to nagle musi być oznaczenie że jest pomiar prędkości. Absurdalne tłumaczenie przy tym, że powoduje to zagrożenie w ruchu drogowym - bo... jak ktoś radar zobaczy, to nagle będzie gwałtownie hamował. A mi się wydawało, że hamować powinien - jak zobaczy znak z ograniczeniem prędkości.
Drugi absurd to jazda po wszystkich strażach miejskich a obecnie po ITD za wystawianie mandatów z foto. Przecież odwracając sytuację - gdyby kierowcy stosowali się do znaków, to by nie było w ogóle takich dyskusji. Bo mandatu nie dostaje niewinny, tylko sprawca wykroczenia. Ale jak widać - tym złym jest nadzorca. A i kiedyś - jazdy za chowanie się po krzakach drogówki policyjnej. Kolejny absurd.
Tutaj ten model kontrolno-nadzorujący w bezpieczeństwie informacji moim zdaniem też nie ma sensu. Jak wielkie działy musiałby być, żeby utrzymać bezpieczeństwo na określonym poziomie? I ile takich dodatkowych oznaczeń, fotoradarów etc musi być? Bo same zapisy polityki mogą nie wystarczyć - co pokazuje przykład z foto.
Przekładając na ochronę danych osobowych - audyt wewnętrzny powinien być właściwie oznakowany, a jeszcze wcześniej miejsce jego wykonania (dział, wydział) uzgodniony.
I pytanie bardziej istotne - ilu tych kontrolujących i nadzorujących powinno być, żeby utrzymać na zasadzie kontroli system?
Co do samej organizacji, IDO, czy ABI to nie są jedyni ludzie, którzy mają działania w zakresie bezpieczeństwa danych osobowych. Jest już ten powołany wcześniej BHP. Co prawda nie za dużo, ale od niego też informacje w sprawie ekspozycji na niektóre czynniki które szkodzą ludziom, ale szkodzić będą również nośnikom danych osobowych. Czy taśm z serwerów (miejsce backupu), czy nośników tradycyjnych - nie ma znaczenia. Rozpoznanie miejsca ekspozycji na np wilgoć powyżej określonej wartości jest zabójcze dla papieru. Konsultacje warto wykonać z archiwum państwowym czy z gościem od tego archiwum w organizacji - jak jest.
Ale jest też człowiek odpowiedzialny za ochronę fizyczną, która tworzy w wielu miejscach kontrole dostępu do obszaru przetwarzania. Jeśli ABI miałby to poznać - duża ustawa, plus kilka rozporządzeń, do tego kwit stosowny na pisanie planów (jakby to w obowiązkowej było). Kwestie znajomości techniki już pomijam, ale kolejna wielka pajda etc. I trzeba pamiętać, że to pracownicy ochrony są tymi, którzy ustawowo mogą reagować na próbę nieuprawnionego wejścia na zastrzeżony teren.
Jest też pożarówka i opisane w IBP zagrożenia wystąpienia pożaru oraz innych zagrożeń miejscowych. Razem z wymienioną fizyczną - jest to praktycznie komplet (taka podstawa) w zakresie rozpoznania zagrożeń zniszczenia lub uszkodzenia danych osobowych. Nie chce wchodzić za dużo w kwestie szczegółowe - ale prosty przykład, jak serwer lub archiwum znajdują się w tej samej strefie pożarowej co magazyn wysokiego składowania, w magazynie duże obciążenie ogniowe, a nie zastosujemy spec pojemników czy urządzeń na ochronę przed pożarem i ... przed wodą (w takich miejscach standardem są instalacje tryskaczowe) lub nie wyłączymy sekcji takiego systemu - wprost wpadamy pod przepis o nieumyślnym niezabezpieczeniu przed zniszczeniem lub uszkodzeniem. A materiał... na Kongres FM zrobiłem szybki przegląd. Około 700 stron ustawy o ochronie ppoż, rozporządzeń, od warunków ochrony, przez zaopatrzenie wodne obiektów po współpracę. Nie sądzę żeby ABI lub IDO, czy jakikolwiek inny spec od ochrony informacji też chciał w tym grzebać na poziomie specjalistycznym.
Kolejne - bezpieczeństwo techniczne. Znowu ryzyka zniszczenia, uszkodzenia danych. Bo przecież zabór czy nieuprawniony dostęp to tylko to co "z człowieka". Zostają przecież z natury i z techniki.
Książka obiektu budowlanego plus przeglądy w zależności od powierzchni - roczne lub półroczne. Znowu informacje o bezpośrednich wręcz zagrożeniach dla DO czy na serwerach, czy na kompach, nośnikach tradycyjnych czy optycznych. Przeciek w dachu, nieszczelne okna, rynny przeciekające. to wszystko tam jest. A do tego podstawy - pajda w postaci prawa budowlanego oraz ponad 100 stronnicowe rozporządzenie w sprawie warunków technicznych. Przenikające się z pozarówka, bo kategorie budynków ze względu na wysokość czy ze względu na klasę zagrożenia - to właśnie tam. A do tego instalacje odgromowe, odprowadzenia wody, etc... Czyli na naturę.
Dodajmy jeszcze zagrożenia okresowe, wynikające już dla konkretnych pomieszczeń, w których są przetwarzane DO, głównie w zakresie ich przechowywania. Plan remontów i ich wykonanie, robiony np przez służby utrzymania ruchu (SUR). Ci też się z pozarówką przenikają, ale od nich tych zagrożeń jest sporo i nie jest to tylko pożar, choć ten jest najczęstszy. Według informacji z EC Żerań, przyczyna pożaru z początku września było zaprószenie ognia w trakcie tzw prac niebezpiecznych pod względem pożarowym. Sporo takich jest, a wyobrazić sobie spalenie działu kadr nie jest trundo - pan Zdzisio (postać fikcyjna) musi pospawać grzejniczek, bo pani Krysi cieknie. Ot heftnie tylko... I jak odchodzi - jest ok, ale iskra padła na materiał żarzący, który do końca dnia pracy nie rozwinął się w pożar. Praca nieskontrolowana zgodnie z IBP np w 2, 4 i 8 godzin po zakończeniu i mieliśmy dane osobowe w teczkach osobowych.... I niezależnie czy dlatego że spłonęły, czy dlatego, że strażacy, z wrodzoną sobie ułańską fantazją wszystko zatopili.
Oczywiście w tych działaniach warto jeszcze dodać prace zewnętrznych podmiotów i standardową przepychankę kto ma ich nadzorować. BHP - które powinno poinformować o ryzykach, ppoż, który winien zapoznać z IBP, ABI, który powinien poinformowawszy, że maja tu czy tam sami nie włazić, HR który czesto odpowiada za kontraktorów? Kto ma w jakim zakresie odpowiadać za zakres bezpieczeństwa danych osobowych w odniesieniu do ryzyk z ludzi - obcych?
Podsumuję, bo mi się znowu wywód zrobił.
Mam nieprzeparte wrażenie, że dyskusja o bezpieczeństwie danych osobowych skupia się ciągle i wciąż wokół systemu organizacji, na zgodność z przepisami, a głównymi ryzykami jakie są rozpatrywane, to te z zagrożeń z katalogu "ludzie".
Podczas gdy moim zdaniem bardzo istotnym jest również rozpatrzenie ryzyk z natury i z techniki. A to wymaga nieco więcej niż ABI, czy IDO którzy są biegłymi prawnikami, dobrymi informatykami. To jest kwestia całego dużego zespołu bezpieczeństwa informacji, w którym wiele osób dostarcza informacji okresowych (przeglądy budowlane, sprzętu i instalacji ppoż,) bieżących (naprawy i remonty - zarówno w miejscach gdzie generowane są wprost zagrożenia dla DO jak i tych, gdzie remontowane lub przeglądane są elementy systemu zabezpieczeń - bo w tym czasie on nie działa). Dlatego sprzeciwiam się rozbudowie działów stricte poświęconych bezpieczeństwu, bo może to być często kopia kompetencji zadań już realizowanych w organizacjach.
Natomiast byłbym za tym, żeby ABI czy IDO miał możliwość korzystania z całego zespołu bezpieczników z innych zakresów i żeby to było zapisane w przepisie. Bo w tym momencie nawet idąc nurtem zgodnościowym, na sprawdzenie tylko wymogów z automatu "przypomni i zmusi" do rozpatrzenia zagrożeń i ustanowienia systemu ochrony danych osobowych zgodnie z art 36 ustawy.
I to jest moja odpowiedź, czemu nie piony bezpieczeństwa dla DO.
Grzegorz K. edytował(a) ten post dnia 16.10.12 o godzinie 08:46
пропозиції роботи
