пропозиції роботи
Wypowiedzi
-
Paweł G.:
Paweł L.:
Nie rozumiem?
Ale jeżeli zahaczymy o podmiot publiczny lub >250 pracowników to przejdziemy na zasadę 2x pbd (privacy by default & design)
MR się wycofało? Sorry, ale nie czytam każdej zmiany w projekcie... -
Można używać Excela -pomocniczo- jeżeli nie będziesz potrzebował zasady rozliczalności. Ale jeżeli zahaczymy o podmiot publiczny lub >250 pracowników to przejdziemy na zasadę 2x pbd (privacy by default & design)
-
Czasem lepiej użyć serwera kopii zapasowej jeżeli masz trochę czasu, kasy i zaprojektować system. Sam nie będę oceniał rozwiązań komercyjnych (nie lubię reklamować) ale warto ocenić UWZGLĘDNIAJĄC ryzyko włamania z zewnątrz.
Jeżeli chodzi o wpisanie programu -pomocniczego- w którym dane są przetwarzane czyli np. Microsoft Excel (i tu wersja)... nie mylcie się przy wpisywaniu ;)
Gratulacje ;)
Edit: Kiepsko będzie bo pen w bezpieczeństwie nie pomaga ;)Ten post został edytowany przez Autora dnia 22.03.18 o godzinie 09:08 -
Pora wytknąć jeszcze jeden(2,3) błąd w rozumowaniu... Przy podmiotach publicznych ważna jest też ustawa o którą się opierasz...
Poza tym ważny jest tu też rozmiar ;)
...no i zaawansowanie techniczne kamery (skala kolorów, wykrywanie ruchu, kąt(!), wygląd(!)...)
Przychylam się do opinii przedmówcy (@Grzegorz Krzemiński)...
Po długiej nieobecności wypada się też przywitać ;) -
Art. 39. ust 2 nie ma zastosowania dla wymienionego personelu, który przebywa po godzinach pracy za zgodą pracodawcy nie mając dostępu do danych ponieważ nie są oni upoważnieni do ich przetwarzania. Art. ten bowiem mówi: "2. Osoby, które zostały upoważnione do przetwarzania danych(...)". Zamiast tego możesz dać oświadczenie o zachowaniu tajemnicy, którego treść może być ta sama opierając się na zasadach zawartych w polityce bezpieczeństwa, ale nie opierając się na art. 39.
-
Dorian J.:
Paweł L.:
Ja załączam strukturę zbioru i podpinam do streszczenia.............
Czyli jak w ramach inwentaryzacji określono mi dla danego systemu informatycznego, w którym są przetwarzane dane tylko kategorię danych, z których faktycznie się korzysta, to lepiej załączyć strukturę od wydawcy ?
Nigdy nie dajesz książki, jeżeli ktoś chce wiedzieć o co chodzi ;)
Musisz opisać tą część, o którą jesteś proszony i podać odnośnik do 'księgi' gdzie wpięte masz wydruki struktur programów, jeżeli ktoś chciałby więcej informacji. Jeżeli masz obieg elektroniczny to załącz do pisemka. -
Grzegorz K.:
Ja... cóż ;-)
Złapałeś niezłego focha ;) -
Ja załączam strukturę zbioru i podpinam do streszczenia. Szczegółowe dane masz zawarte w strukturze od wydawcy, a streszczenie jest przełożeniem na prostszy język zrozumiały dla kierownictwa najważniejszych kwestii... Opis pól zawsze jest zawarty w strukturze dostarczonej od producenta i spełnia on wymogi.
-
Grzegorz K.:
Paweł G.:
Grzegorz K.:
No ale niezgodności dajesz, prawda?
poruszyłeś. Może właśnie dlatego, że jego zadaniem często jest pisanie raportów po sprawdzeniach, że czegoś nie ma...
Nie daję, a wystawiam ;-)
Tak. I nie tylko. Wystawiam też potencjały doskonalenia. Ale zacznijmy od niezgodności. Jako, ze ABI ma obowiązek ZAPEWNIĆ przestrzeganie przepisów o ochronie danych osobowych, to... nie tylko wystawiam. Też sprawdzam czy ją usunięto oraz czy w ramach działań korygujących usunięto źródło niezgodności w całości i zmniejszono prawdopodobieństwo wystąpienia jej w przyszłości. Po prostu protokół ma nieco więcej pół i dzieli się na części:
1. Opis niezgodności - często z fotografią (szczególnie przy innych systemach - stosuję te same we wszystkich obszarach). Ale również bardzo precyzyjnie opisana niezgodność, wskazany konkretny punkt, paragraf, artykuł. Plus oznaczenie - mam to ogarnięte na własnych listach kontrolnych. Np. jeśli niezgodność dotyczy braku zawartej umowy o powierzenie - oznaczenie wygląda tak:
U/UODO/31.1 Akurat to jest proste, bo w jednym artykule jest jedno wymaganie. Nieco skomplikowanie bywa, jak mamy po polsku napisane zdanie wielokrotnie podrzędnie złożone, jak to czasem nasi rodacy mylą dokumentację czy przepis z twórczością Adama Mickiewicza.
2. Rekomendacja - stan jaki ma być osiągnięty i jak to zrobić.
3. Uzasadnienie - czyli dlaczego należy tak zrobić. Tu też info o potencjalnych odpowiedzialnościach.
Dla dojrzałych systemów:
4. Kategoria ryzyka
5. Poziom ryzyka.
To z pkt 1 - oznaczenie U/UODO/3.1.służy do monitorowania niezgodności. Łatwiej i prościej. Pierwsze to oznaczenie źródła wymagania U - ustawa, R - rozporządzenie, PN - polska norma, ISO - norma ISO, BS - standard brytyjski, I - inne (najczęściej procedura lub instrukcja), W - wewnętrzne.
I np. wymagania zawarte w instrukcji zarządzania SI służącym do przetwarzania - będą miały oznaczenia:
W/IZSI.
Polityka bezpieczeństwa danych osobowych - W/PBDO
Wymagania IBP - instrukcji bezpieczeństwa pożarowego:
W/IBP
Po takiej metryczce, informacja o tym jak planowane jest usunięcie niezgodności (action plan). Ale... to jest wypełniane w uzgodnieniu z liderem, szefem konkretnej komórki. Oczywiście złośliwie i z nieukrywaną satysfakcją jest kolumna (uwielbiam tabelki, bo upraszczają kwity) - TERMIN. I tam już tego terminu należy pilnować. Oraz informuję, że wystawię "niezgodność do niezgodności" ;-)
Na końcu - potwierdzenie usunięcia niezgodności. Przez osobę NADZORUJĄCĄ dany obszar.
Oczywiście przy kolejnym sprawdzeniu, czy audycie zaczynamy od rozliczenia poprzednich niezgodności.
Ale poza tym pracuję też na czymś, co nazywam potencjałem doskonalenia. Tu różnica w tym, że nie ma oznaczenia, jak przy niezgodności, bo nie ma wymagania. Jak nie ma wymagania, to nie bedzie niezgodności.
I w PD - wpisuję mniej więcej to co powyżej, ale rekomendacja w uzasadnieniu zawiera informacje o doskonaleniu systemu. Formalnie ze standardów międzynarodowych - to jest element wykazania ciągłego doskonalenia.
W polach - action plan wpisane są informacje, które dotyczą postępowania z potencjałem. Jeśli uznany został za możliwy do wdrożenia i celowy - przez szefa firmy, w tym przypadku w "rozliczeniu" - powinien pojawić się zapis, w jaki sposób umieszczono rozwiązanie w istniejącej dokumentacji. Np z ostatnich, jak zostawiłem rekomendację w zakresie cyklicznej oceny zagrożeń:
1. wykonywania po zmianie istotnych warunków ochrony danych osobowych, np, przebudowa, remont, zmiana lokalizacji, zmiana systemu IT (szczególnie przejście z Win 7 na win 10) etc.
2. Wykonywania nie mniej niż raz w roku.
To w Polityce pojawiły się zapisy rozszerzające, mniej więcej (z pamięci) - rozdział II - analiza zagrożeń:
1. W celu właściwej realizacji wymagań art 36 ustawy o ochronie danych osobowych, wykonywana jest analiza zagrożeń.
2. Analiza zagrożeń wykonywana jest nie rzadziej niż raz na rok, z zastrzeżeniem punktu poniżej
3. W przypadku istotnych zmian w funkcjonowaniu organizacji, w tym w szczególności zmiany obszaru przetwarzania (definicja jest na początku), zmiany systemów IT ( i tu te inne) analizę zagrożeń należy przeprowadzić nie później niż 3 miesiące po zamianach.
I w PD - pojawił się zapis z realizacji:
Ustanowiono wymaganie w U/PBDO - pkt II - 2 - zmiany "z życia", w pkt II-3 cykliczna.
I mam dwa nowe wymagania:
U/PBDO/2.2
U/PBDO/2.3
Masz podobny sposób oznaczania jak ja, poza oczywiście normami brytyjskimi i ISO. Jednak przyznam, że twój jest praktyczniejszy, ale też mniej zrozumiały dla 'laików' ;)
Mam tylko pytanie do ciebie, w przypadku zarządzaniem ryzykiem opierasz się o normę PN-ISO/IEC 27005 czy rozbudowujesz i uwzględniasz dodatkowe wewnętrzne wymagania formalne (nie mylić z zagrożeniami) i dookreślasz w polityce nadając własne wymagania i dzieląc osobno na analizę itp...?
PS. Masz dobrze skonstruowane obowiązki jak widzę wraz z możliwością podawania terminów usunięcia niezgodności. Niestety ja czegoś takiego nie mam i przez to muszę się męczyć przedkładając tylko standardowe dokumenty z zaleceniami, których usunięcia ma pilnować ADO w bliżej nieokreślonej przyszłości. -
Grzegorz K.:
Radosław Z.:
Ładna analiza. Choć nie do końca zgodna z meritum.
Zacznijmy od podstaw.
1. ABI ma wykonywać obowiązki wynikające z ustawy.
2. ADO może powierzyć ABI wykonywanie innych czynności, jeśli nie naruszy to prawidłowego wykonywania obowiązków ustawowych (36a.4).
Widzę, że niewyraźnie napisałem.
WYMAGAM od ABI sprawdzenia, czy wdrożone środki organizacyjne i techniczne są adekwatne do zagrozeń, a więc czy dane osobowe są przetwarzane zgodnie z ustawą. Które z tych zadań jest inne?
3. Należy rozróżniać pojęcia bezpieczeństwo informacji (pojęcie szersze) oraz ochrona danych osobowych.
Ktoś nie rozróżnia? Ja nie chcę nic więcej w tym przypadku od ABI aby tylko wykonując swoje sprawdzenie dostarczył mi dowodu, że dane osobowe Mietka nie zostały zniszczone lub uszkodzone (integralność danych). A w zakresie dostępu do danych czy są zmieniane przez właściwe, uprawnione osoby (rozliczalność danych)
4. Zwrot "Kto administrując zbiorem danych" odnosi się do "podmiotu, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy, przy czym odpowiedzialność karna administrującego nie będącego administratorem danych wchodzi w rachubę wówczas, gdy jego zachowanie - uznane za karalne przez ustawę - wynika z powierzonych mu czynności przetwarzania danych" - postanowienie SN , II KKN 438/00.
A co to ma do rzeczy? Jeśli jest w normie prawnej zapisane działanie niedozwolone, to aby działać zgodnie z ustawą, owo działanie musi być wykluczone.
Co oznacza, że nie dopuszcza się przetwarzania danych osobowych w sposób... i tu wstaw sobie wszystkie zabronione czyny. Przy czym niektóre to formalne, a niektóre skutkowe.
Takie podejście nie ma nic wspólnego z podejściem 'czego abi ma nie robić'.
ABI nadzoruje. Tak, ale nie wszystko. Nadzoruje to, co wynika z art. 36a.2.b. Może nadzorować i inne sprawy z zastrzeżeniem pkt.2. Na marginesie, sprawdzanie to nie nadzór.
Przeczytałeś dokładnie ten przepis? Bo w moim serwisie prawnym do zadań ABI należy zapewnienie przetwarzania danych osobowych w sposób zgodny z ustawą.
Zauważ, że jest to katalog OTWARTY. Mówi o tym słówko "w szczególności".
Ale jest też inne słówko, które już tłumaczyłem w innym wątku. W tym, co wskazywałem typowe pytania prokuratora. "A co pan zrobił..."
Otóż do zadań administratora należy zapewnienie przestrzegania... ZAPEWNIENIE. Czyli nie tylko sprawdzenie, czy przepisy są przestrzegane. Nie tylko raportowanie że coś jest nie tak. Ale podjęcie wszelkich kroków, mających na celu zapewnienie przestrzegania przepisów o ochronie danych osobowych.
Dane Mietka (on sam nie jest daną osobową, jest osobą) i jego kwalifikacje zawodowe są zbierane i 'obrabiane' przez służby kadrowe, które odpowiadają za ich bezpieczeństwo. Tzw. dane kadrowe są gromadzone w formie tradycyjnej. Oprogramowanie użyte do przetwarzania danych musi spełniać wymogi uodo. To czy oprogramowanie spełnia te wymagania zostało już zweryfikowane w momencie opracowywania PBDO i IZSI.
Znów - co to ma do rzeczy? Obowiązkiem ABI jest zapewnienie przestrzegania. A ja jak pisałem wyżej - ŻĄDAM (nawet nie proszę, bo to jego obowiązek ustawowy) od ABI, aby sprawdził, czy dane osobowe Mietka są przetwarzane zgodnie z ustawą, a więc w tym przypadku chronione co najmniej przed nieuprawnioną zmianą i zniszczeniem.
ABI jako element funkcjonowania całego systemu bezpieczeństwa wykonuje swoją rolę, ale
Truizm. Taki sam jak "każdy pracownik sumiennie wykonuje swoje obowiązki".
rozumie jak istotne są jego zadania. Pozostali uczestnicy tego systemu też to wiedzą. I nikt od
swojej roboty nie ucieka, tylko ją robi.
Erystyka. A poważnie to miałbym prośbę, abyś przez pryzmat swoich doświadczeń nie deprecjonował moich działań. Bo u mnie tak działa.
A co do systemów - one tak działają. Tylko ważne jest jak się je wdraża i jak się na nich pracuje. Jak ludzie są świadomi to działają. Jeden prosty przykład z obszaru bezpieczeństwa informacji - w ujęciu tajemnicy przedsiębiorstwa. Można - nawet w Polsce utrzymać w poufności informację o nowym produkcie. Był produkowany przez 1,5 roku zanim wszedł na półki (na całą Europę, Bliski Wschód i północ Afryki). Ale były też święte krowy, którym się wydawało. Temat dotyczył cleand desk policy (polityki czystego biurka). I nagle jak się "święte krowy dowiedziały, że pozostawienie pudełka na nowym produkcie moze być ujawnieniem informacji i może byc ścigane karnie i cywilnie - to nagle okazało się, że biurka moga byc czyste.
Warunek jest jeden. Zrozumieć SWOJE obowiązki. I zacząć je wykonywać. Bo ten przykład powyżej, to było zapewnienie bezpieczeństwa informacjom objętym tajemnicą przedsiębiorstwa. Ale żeby zapewnić - trzeba zagonić do roboty całą wiedzę z obszaru zarządzania bezpieczeństwem i zrobić miks - nie tylko dokumentacji, ale tez szkoleń, z ich formami, dokonywać sprawdzeń efektywnych (a nie tylko efektownych) czy audytów - które naprawdę są audytami.
A chodzi tylko o to aby ZAPEWNIĆ... Tak jak to ABI ma w obowiązkach.
Oboje macie rację ale inne podejście. W tej chwili mam wrażenie, że rozmawiacie o dwóch innych rzeczach i nawet nie zdajecie sobie z tego sprawy
To czy ADO oprócz zadań, które ABI ma obowiązek wykonywać zgodnie z Ustawą zleci mu zadania inne (analizy, nadzór nad całością zabezpieczeń itp...), czy zatrudni do tego cały zespół ludzi lub sam będzie je wykonywał zależy od jego podejścia.
Mówiąc prostym językiem, ABI musi zadbać o to, żeby wykazać jakie działania naprawcze należy wykonać i najlepiej kto je powinien wykonać. Wiadomym jest, że jeżeli chodzi o ochronę informacji (nie tylko do) ABI jest (powinien być) najbardziej kompetentną osobą w firmie/instytucji. Jako specjalista, którego opinia jest traktowana tak jak radcy prawnego (niezależność, to że ADO nie może oceniać prawidłowości wykonania USTAWOWYCH obowiązków ABI) część obowiązków POWINIEN wykonywać sam.
Dlatego tutaj należy chyba odróżnić dwa rodzaje 'abich'
1. 'Ustawowy' ABI - wykonuje tylko swoje ustawowe obowiązki i zlecone przez ADO
2. 'Dobry' ABI - oprócz w/w obowiązków w oparciu o analizę zagrożeń i ryzyka informuje ADO jakie zadania powinien dodatkowo wykonać jako specjalista, a jakie należy przenieść na inne osoby/dział jako bardziej kompetentne w danym zakresie.
Wszystko zależy Grzegorzu od wiedzy i umiejętności 'dobrych' ABI, którzy sami powinni zdecydować jak zapewnić najlepszą ochronę. Nie każdy wie wszystko. I tak np ja, jeżeli chodzi o prawo, IT, zarządzanie kryzysowe, ryzyko i p. poż. mam sporą wiedzę, to w kwestii budownictwa i związanych z nim norm (które też należy uwzględniać) mam wiedzę podstawową, jestem 'zielony' i wolę tą działkę przekazać specjaliście. Ale twój model ABI jest dobry, jeżeli założymy, że ma on pełną wiedzę, albo środki finansowe nie pozwalają na zatrudnienie ekspertów. Wtedy powinien sam wykonać (lub zlecić a później poprawić) określone dodatkowe zadania. Ale nie powoływałbym się tutaj na ustawę, tylko na interes ADO i etykę zawodu/funkcji.
Radku, jeżeli chodzi o obowiązki określone w ustawie są one dla tych ABI, którzy są oddelegowani przez ADO, żeby nie trzeba było rejestrować zbiorów danych i nie mają ambicji w zawodzie lub wiedzy. Wtedy wypełniają ustawowe obowiązki a resztę zostawiają, żeby ADO się martwił. Jest to zgodne z prawem. Ale tylko tyle. -
Kinga K.:
Masz jeden zbiór danych do kadr, wynagrodzeń i danych księgowych? Powinien być rozbity na przynajmniej 3 ponieważ możesz wtedy upoważnienie dać do konkretnego zbioru i tak np płatnik będzie w zbiorze np. 'Płace', dane kadrowe np. "kadry" finansowe ogólne "finanse-księgowość".
3 osobne zbiory ? Spotykałam się z interpretacją, że może być zbiór kadrowo-płacowy ale 3 odrębne ? Cel przetwarzania danych jest taki sam : realizacja obowiązku wynikającego ze stosunku pracy.
Muszę przemyśleć Pana rozwiązanie.
Ja zawsze obrazuję to tak: Czy w segregatorze w płacach przechowa Pani dane kadrowe razem z płacowymi (również zwolnienia i przebyte szkolenia), czy jednak oddzieli Pani te informacje?
To że część danych się pokrywa nie oznacza, że są przetwarzane w tym samym zbiorze. Łączenie tych danych nie jest oczywiście wykazane jako błąd a przy 10-20 pracownikach może to być dopuszczone. Jednak im większa firma/instytucja tym bardziej potrzebny jest podział chociaż ze względu na strukturę wewnętrzną.
Natomiast jeżeli chodzi o dane księgowe to zależy od uprawnień i danych jakie przechodzą przez księgowość. Często zakładany jest osobny zbiór uzupełniający przechodzące przez księgowość dane z innych zbiorów.
Wszystko zależy też od ilości i rodzaju danych przechodzących pomiędzy systemami, czy są to dane z 23 czy 27, jakie dane są przekazywane do innych działów (np do księgowości jakie składniki są na listach płac). Na początek proponuję sprawdzić przepływ danych między systemami i uprawnienia użytkowników, często tam można znaleźć rozwiązanie... Najlepiej, żeby pomógł w tym ASI. -
Kinga K.:
Dzień dobry,
Zastanawia mnie jedna rzecz:
Mam zbiór danych Pracowników, wiadomo, że w ramach tego zbioru przetwarzam dużo danych osobowych kadrowych i finansowych.
Masz jeden zbiór danych do kadr, wynagrodzeń i danych księgowych? Powinien być rozbity na przynajmniej 3 ponieważ możesz wtedy upoważnienie dać do konkretnego zbioru i tak np płatnik będzie w zbiorze np. 'Płace', dane kadrowe np. "kadry" finansowe ogólne "finanse-księgowość".
Muszę wydać upoważnienie do przetwarzania danych pracownikowi finansów w zakresie wykonywanych obowiązków na stanowisku, nie może mieć dostępu do wszystkich kategorii danych ze zbioru.
Np. Wydaje upoważnienie do:
zbiór pracownicy – imię nazwisko, pesel, nip, kwota potrąceń, miejsce zameldowania, wynagrodzenie – w zakresie wgląd, wprowadzanie.
Następnie nadajemy mu uprawnienia do Płatnika, a jak wiadomo struktura tego systemu jest ogromna.
Jak to się ma do tego co napisałam w upoważnieniu. Czy informatyk może ograniczyć widoczność poszczególnych pól informacyjnych Płatnika ?
Podejrzewam, że program do płac i kadr macie ze wzpólną bazą danych i 2 osobnymi modułami kadry i płace. Dzięki takiemu podziałowi informatyk ma też łatwiej w podziale ról(uprawnień) w programach dla konkretnych pracowników. I tak jeżeli podzielisz jeden zbiór "pracoiwnicy" na kilka to np przysłowiowej Pani Krysi z Kadr dajesz uprawnienia do zbioru Kadry, Pani Marcie z Działu Płac do "Płace" itd...
Jeżeli chodzi o Płatnika to jak każdy program w którym przetwarza dane osobowe musi mieć możliwość nadania ról. Czyli odpowiedź - tak, może nadać uprawnienia użytkownika. -
Grzegorz K.:
Jaaaaaaaa............
ABI ma wykonać WŁASNĄ ANALIZĘ ZAGROŻEŃ. Dla swoich zasobów (formalnie powinien ADO, ale po to ma ABI, żeby...)
ABI nie jest od tworzenia analizy zagrożeń jak już powtarzam... poza tym to na ADO spoczywa taki obowiązek, który jest elementem analizy ryzyka... Jeżeli ABI chce dodać zagrożenia do sporządzonej przez ADO (lub procesora) mapy zagrożeń może to zasugerować jak tylko zauważy braki. Jednak to nie on ma tą analizę przeprowadzić...
Znów - mój wniosek wynika z tego co już pisałem - aby wykonać ocenę zgodności z art 36 - w części dotyczącej adekwatności rozwiązań technicznych i organizacyjnych.
Analizę wykonuje ABO tak samo jak zapewnia zgodność z KRI, zarządzanie ryzykiem czy ISO serii 27 00X
To, że zagrożenia i spece już są - to jest strona techniczna działania. Tak samo, jak w wielu przypadkach jest już też informacja o sile (impact) zagrożenia na firmę. Ale nie na dane osobowe - i to jest do zrobienia .
To, że informacji dostarcza cały zespół ludzi, to jest tak oczywiste, że nie wymaga w ogóle komentarza. Jednak to z tych informacji ABI czy ADO, czy jakkolwiek nazwiemy - ma wyciągnąć konkretne zagrożenie dla konkretnych danych osobowych, miejsc ich przetwarzania, środków przetwarzania etc.
ADO...
Problematyczne bywają niektóre obszary bezpieczeństwa i ochrony, w których ABI może się natknąć na ścianę płaczu. I na tym pozostać. Ale w tym momencie, jak nie dostanie informacji dotyczącej danego zagrożenia, to już nie bardzo jest jego odpowiedzialność, za brak przygotowania podstawy do oceny adekwatności zabezpieczeń do zagrożeń (adekwatność = odpowiednie do zagrożeń). Bo chciał i próbował.
Nieprawda... pracownicy jeżeli nie wypełniają swoich obowiązków lub wypełniają je nienależycie są narażeni na konsekwencje z u ADO... Jeżeli ADO nie wypełnia Ustawowych obowiązków... to już oczywiście wchodzą odpowiednie przepisy...
Przykładowo w wielu firmach w ogóle nie ma osoby odpowiedzialnej za obszar ochrony fizycznej na którą się składa:
- Ochrona fizyczna we wszystkich formach (stała, doraźna czyli grupy interwencyjne, konwoje lub transporty dokumentów oraz monitorowanie systemów alarmowych)
- Zabezpieczenie techniczne (systemy sygnalizacji zagrożenia, systemy kontroli dostępu CCTV, zabezpieczenia budowlane, mechaniczne)
Nieprawda... jeżeli ADO nie wyznaczy osoby odpowiedzialnej sam jest za tą działkę odpowiedzialny.
Są jakieś tam umowy i są jakieś tam czujki. Tylko jakie - tego nikt nie wie. Ale we wniosku rejestracyjnym ochoczo ABI wpisuje - tak są i zaznacza jak leci. Pytanie, czy sobie właśnie pętelki na szyję nie założył....
Więcej wiary w ludzi....
Podobnie z pożarówką - gdzie strażacy (inspektorzy czy specjaliści) zajmują się tylko pożarem, a miejscowych już nie tykają. I z kilkoma jeszcze obszarami. Ogólnie jest pewien katalog - obszarów i specjalistów, którzy mają swoje działania i dostarczają informacji, wystarczy po nie tylko sięgnąć.
Co innego jest jeżeli osoba nie jest zatrudniona u ADO... Wtedy to znowu on jest odpowiedzialny za daną działkę...
Pytanie - jak ABI nie sięgnął, to czy mógł ocenić, że techniczne i organizacyjne środki są odpowiednie do zagrożeń i kategorii danych?
Od tego właśnie są sprawdzenia... ich częstotliwość i 'głębię' dopasowuje do sytuacji ABI... to on ma mieć wiedzę na temat odo i tego co mu będzie pomocne w pracy... -
Grzegorz K.:
A więc jeszcze raz, bo widzę, że jednak trzeba.
Co to jest ANALIZA ZAGROŻEŃ?
Jest to ANALIZA zagrożeń. Nie identyfikacja, tylko ANALIZA. Ja nie wiem jak to można prościej napisać. Analizujesz zagrożenia dla zasobów znajdujących się pod Twoim nadzorem. Analizujesz je - czy będą miały wpływ, czy nie.
Może zobrazuję, ponieważ chyba nie załapałeś...
BHP - dostarcza analizę zagrożeń (nie tylko ryzyka)
IT - j/w
ochrona fizyczna - j/w
itd...
Takie analizy dostaje ABI jako środki do realizacji jego zadań...
ADO ma obowiązek zabezpieczyć ogół organizacji/firmy, wobec tego zbiera to do qpy i tu wchodzi art 36 jako jego obowiązek...
ABI - jako ustawowy obowiązek przeprowadza sprawdzenie, w którym weryfikuje sprawowany nadzór nad dokumentacją...
Pamiętaj, że my jako abi patrzymy na ochronę pod kątem zbioru i powiązań między nim a dodatkowymi środkami ochrony, ale nadal okno w pokoju gdzie przetwarzany jest zbiór 'x' to jest okno w pokoju nr. 'y'. Fizycznie nic się nie zmienia, tylko punkt widzenia....
Analiza PHA jest wstępem do oceny ryzyka. A nie jest tą oceną. Poza tym etapy dość ładnie wypisane. I nadal - ABI moim zdaniem (chyba że ADO go nie powoła) POWINIEN wykonać analize, w celu realizacji zadań związanych z oceną zgodnosści z przepisami.
Ustawodawca określił szczegółowo obowiązki i kiedy powinien nadzorować dokumentację w Rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
§7. 2. Administrator bezpieczeństwa informacji przeprowadza weryfikację:
1) w sprawdzeniach, o których mowa w § 3;
2) poza sprawdzeniami, na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału administratora bezpieczeństwa informacji w procedurach w niej określonych.
To chyba już w pełni wyjaśnia tą kwestię... -
Grzegorz K.:
I nadal zaskakującym dla mnie jest to, że ABI tak usilnie broni się od wykonania analizy tych zagrożeń (dostarczonych na tacy), a więc tak de facto - interpretacji w kontekście wymagań ustawy dla zasobów informacyjnych zawierających dane osobowe, przetwarzanych w firmie. Tym bardziej, ze jego obowiązkiem jest sprawdzanie zgodności z przepisem ustawy - a więc ciągle i wciąż oceny wdrożonych środków technicznych i organizacyjnych odpowiednich do zagrożeń.
No i właśnie o to chodzi, że ABI ma się posiłkować zagrożeniami, jak to napisałeś - dostarczonymi na tacy, a nie sam odwalać robotę za kilka działów.
Innymi słowy - żeby zrobić zgodność z przepisami ustawy - robię check listę. I jestem happy. Natykam się na art 36 - który wskazuje mi kolejne kryterium (zbiór wymagań) jakim są zagrożenia. Wszak ochrona musi być ODPOWIEDNIA do zagrożeń.
I co tu będzie kryterium na podstawie którego będzie check lista?
Innymi słowy - wciąż pytanie na które odpowiedzi nie uzyskałem:
W JAKI SPOSÓB UDOWADNIACIE ZGODNOŚĆ Z ART 36 USTAWY W ZAKRESIE OCENY "ODPOWIEDNIOŚCI" ZABEZPIECZEŃ DO ZAGROŻEŃ?
Na wcześniej sformułowane przez ciebie pytanie (może źle zinterpretowałem), odnośnie odpowiedzialności ABI z art. 36 - nie, nie jest odpowiedzialny, tylko wykazuje, że zgodność nie jest zachowana.
Na aktualne - Udowodnić można na podstawie sprawdzenia zgodności, zgodnie z uprawnieniami ustawowymi ABI. Sprawdzenie dokumentacji i zgodności przestrzegania każdy ABI powinien zrobić w momencie objęcia stanowiska. Niestety wiadomo, że nie zawsze jest to możliwe, np w korporacjach. Zawsze należy posiłkować się specjalistami z dziedzin, ponieważ bez nich zwykła analiza zagrożeń będzie niemożliwa.
Ciekawy jest też art. 36a u 8 i określenie luźne 'środki'... Luźno rzucę pytanie, czy dostarczenie analiz zagrożeń od specjalistów jest ujętym właśnie w powyższym art. 'środkiem' ;) Czy analiza zagrożeń jest dokumentem, który można zaliczyć do 'środków'... moim zdaniem tak... Jest to dokument, który jest właśnie środkiem potrzebnym do wykonywania zadań przez ABI.
Natomiast to, że np. ja wolę sam sobie zbić zagrożenia, określić ryzyka i oszacować straty, to już moja dobra wola, nie mam tego w obowiązkach i zazwyczaj robię za free... ale wolę mieć przeświadczenie, że wszystko jest ok. Jeżeli jednak straszycie kogoś zasadą, że powinien się w ten sposób zabezpieczyć, to budzi to raczej mój niesmak, ponieważ każdy działa według własnego schematu i nie ma sensu straszyć konsekwencjami tego, że pan Mietek coś skopał i odbije się to na ABI. W każdej branży jest inaczej a ABI ma być na tyle elastyczny, że powinien dostosować się do polityki firmy i nie robić wielkich rewolucji w organizacji, ponieważ właśnie one stanowią największe zagrożenie w firmach. Zamiast tego powinien dostosować regulacje wewnętrzne w konsultacji ze specjalistami pracującymi w działach czy komórkach. Często rozwiązania proste, już istniejące w firmie są bezpieczniejsze od zmian, które wprowadziłby ABI. -
Sebastian F.:
Idąc tym tropem, czy firma, która na stronie internetowej znajdzie imię i nazwisko pracownika innej firmy, z którą chce nawiązać kontakt, powinna spełnić obowiązek informacyjny wobec tej osoby zanim do niej zadzwoni?
Zasadniczo zakres danych pewnie ten sam, dane zebrane również nie od osoby, której dotyczą, załóżmy, że nie znajdujące się w CEIDG, więc... :)
Obowiązek informacyjny owszem, powstaje, ale moim zdaniem w ciemno można założyć, że "Osoba, której dane dotyczą, posiada informacje o których mowa w ...." bo po pierwsze, zapewne w zakresie jego obowiązków leży kontakt z klientami a po drugie, jeśli jest wyznaczony do kontaktu z daną firmą, pewnie nie dzieje się to bez jego wiedzy. Oczywiście zakładam, że kontrahent nie dostanie adresu domowego i prywatnych danych kontaktowych tego pracownika.
Myślę, że skoro GIODO uważa za dopuszczalne publikowanie imion, nazwisk a nawet zdjęć pracowników na stronie WWW pracodawcy bez zgody, nie będzie miał raczej zastrzeżeń do takiego udostępnienia w ramach wykonywania obowiązków służbowych.
Tak, O ile dane kontaktowe - telefon, mail lub komunikator są danymi kontaktowymi firmy.
Nie można danych czerpać z akt osobowych nawet jeżeli telefon/mail/komunikator prywatny jest przedstawiony do kontaktów służbowych. W takim wypadku przyjmuje się, że jest to kontakt pracownik - firma i służy on tylko do wymiany informacji kadrowych i nie można umieszczać go na stronie internetowej lub innych miejscach. Może być wykorzystany w przypadku osób funkcyjnych, jeżeli nie ma innej formy kontaktu. Ale to temat na inną dyskusję. -
Co do obowiązków ustawowych ABI, to będę nieugięty i tego, że reszta jest tylko dobrą praktyką ale...
opisuję to według przepisów, sam natomiast opracowuje PCD (posiłkując się danymi od IT, czego ominąć nie można... informatycy muszą mieć pole manewru w razie godziny W), poprawiam, wdrażam zabezpieczenia... to nie jest tak, że ABI musi się trzymać tylko ustawowych zadań... w większości przypadków i tak robi się plany, analizy dla własnego bezpieczeństwa, albo jak to jest w moim przypadku "wolę zrobić sam"... trzeba tylko pilnować, żeby nie przesadzić i nie doprowadzić do sytuacji, że ABI zostanie zmuszony do tworzenia dokumentacji o której często nie ma pojęcia lub doświadczenia (PCD, ZK, wprowadzanie ISO XXXXX itp.).
ADO też ma mieć świadomość co ABI powinien zrobić i jakie są jego obowiązki, a co do reszty to leży w gestii naszego zawodu i powinniśmy mieć zostawione pole manewru. -
Grzegorz K.:
To jest powód, dla którego tak mocno prywatnie irytuje mnie szukanie podstaw do braku roboty. Do tego, aby zaszyć się w ciszy i głuszy kwitków i rozmawiać z ludźmi z pozycji kontrolera i inspektora. Tylko,że to moim zdaniem nie zadziała. Ale mogę się mylić - dopiero pękło mi 500 projektów w bezpieczeństwie - w tym bezpieczeństwo informacji może około 100-120 .
Gratuluję...
Nie rozumiem cie teraz, ponieważ rzucasz przykład, który potwierdza to co napisałem odnośnie tego, że ABI ma obowiązki wymienione w ustawie, a reszta to dobra praktyka.
Poza tym ABI przyczyniłby się do zmniejszenia poziomu ochrony poprzez odrzucenie opinii ekspertów i poleganiu tylko na swojej. ABI ma pracować w zespole jeżeli tylko ma taką możliwość. On jest specjalistą od ochrony danych osobowych natomiast w innych kwestiach powinien zasięgnąć opinii, jeżeli nie jest pewien. -
Grzegorz K.:
Paweł L.:
Grzegorz K.:
Precyzuję. Skąd wiesz, że szafa w której masz akta jest wystarczającym zabezpieczeniem przed zniszczeniem? Wymaganie tego kawałka jest wprost w art 36, w "krótkim katalogu" zagrożeń, na które ma odpowiadać ochrona danych osobowych.
Nie widzę związku... Rozmawiamy w tej chwili o zadaniach ABI nie ADO... ABI w sprawdzeniu wykazuje przypadki naruszenia przepisów i działania podjęte lub zaplanowane w celu usunięcia naruszeń i umieszcza to w sprawozdaniu (art 36c 7).
No to jeszcze raz. Dla przykładu ot gościu trzyma akta osobowe w drewnianej szopie na polu, nie zamykanej. Co mu napiszesz?
Opierając się o twój przykład ABI ocenia szafę czy spełnia wymogi, umieszcza zastrzeżenia w sprawozdaniu ze sprawdzenia i przekazuje ADO. Ponieważ ADO ma obowiązek z art. 36 odpowiednio zabezpiecza mebel lub go wymienia na właściwy.
Na podstawie czego oceniasz czy mebel spełnia wymogi? czego wymogi?
To jest właśnie ta istota analizy zagrożeń. Nie masz żadnych wymogów do danych osobowych. Sam sobie oceniasz, na podstawie np. analizy zagrożeń włamaniem. I inaczej to będzie wyglądać jak masz np. alarm, inaczej jak nie. Inaczej jak masz ochronę, inaczej jak nie.
ABI ma obowiązek posiadać wiedzę na temat zagrożeń, ale nie prowadzić analizy jak ty to piszesz. To jest tylko dobra praktyka w szczególności, że w przypadku odejścia z firmy warto zostawić następcy ocenę.
No więc jeszcze raz - jak oceni, bez analizy czy zabezpieczenia są odpowiednie?
Dla lepszego zobrazowania podam przykład z IT... Pentest wykrył ser szwajcarski w zabezpieczeniach, które błędy należy oczywiście wyeliminować... Kto powinien w tym wypadku ocenić wrażliwość i podatność systemu? ABI czy ASI z zespołem? ABI dopiero w oparciu o raport z działu IT (lub równocześnie) rusza ze sprawdzeniem i tworzy sprawozdanie z uwzględnieniem opinii działu IT i ich propozycji rozwiązań.
I co w nim zawiera? Może informacje, że wykryte luki stanowią... no co stanowią? ZAGROŻENIE?
Cały czas rzucasz przykłady ale nie podałeś jeszcze źródła w którym mowa o tym, że ABI zastępuje ADO, ponieważ z dotychczasowych twoich wypowiedzi wywnioskować można, że taką moc posiada.
To, że ABI powinien mieć pojęcie na temat kilku dziedzin, to nie znaczy, że musi być w nich ekspertem. Od tego właśnie są zatrudniani specjaliści w firmach, od bhp, IT, ochrony fizycznej, przetargów itp. -
Grzegorz K.:
Paweł L.:
Grzegorz K.:
Sorry, ale nie zgodzę się. Na podstawie czego zatem zaplanujesz:
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
Może sprecyzuj... ponieważ moim obowiązkiem nie jest planowanie techniczno-organizacyjne... to działka ADO, który posiłkuje się wynikami sprawdzeń i wymaganiami ustawowymi
Precyzuję. Skąd wiesz, że szafa w której masz akta jest wystarczającym zabezpieczeniem przed zniszczeniem? Wymaganie tego kawałka jest wprost w art 36, w "krótkim katalogu" zagrożeń, na które ma odpowiadać ochrona danych osobowych.
Nie widzę związku... Rozmawiamy w tej chwili o zadaniach ABI nie ADO... ABI w sprawdzeniu wykazuje przypadki naruszenia przepisów i działania podjęte lub zaplanowane w celu usunięcia naruszeń i umieszcza to w sprawozdaniu (art 36c 7).
Opierając się o twój przykład ABI ocenia szafę czy spełnia wymogi, umieszcza zastrzeżenia w sprawozdaniu ze sprawdzenia i przekazuje ADO. Ponieważ ADO ma obowiązek z art. 36 odpowiednio zabezpiecza mebel lub go wymienia na właściwy.
ABI ma obowiązek posiadać wiedzę na temat zagrożeń, ale nie prowadzić analizy jak ty to piszesz. To jest tylko dobra praktyka w szczególności, że w przypadku odejścia z firmy warto zostawić następcy ocenę.
Dla lepszego zobrazowania podam przykład z IT... Pentest wykrył ser szwajcarski w zabezpieczeniach, które błędy należy oczywiście wyeliminować... Kto powinien w tym wypadku ocenić wrażliwość i podatność systemu? ABI czy ASI z zespołem? ABI dopiero w oparciu o raport z działu IT (lub równocześnie) rusza ze sprawdzeniem i tworzy sprawozdanie z uwzględnieniem opinii działu IT i ich propozycji rozwiązań.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
Zaloguj się za pomocą
