Podmiot publiczny musi zarządzać bezpieczeństwem informacji w tym danych osobowych na określonych zasadach przewidzianych w przepisach krajowych. Całokształt zasad zarządzania bezpieczeństwem informacji składa się na SZBI czyli System Zarządzania Bezpieczeństwem Informacji. Kto musi wdrożyć SZBI? Jakie obowiązki spoczywają na administratorze? Wyjaśnienie w artykule.
System Zarządzania Bezpieczeństwem Informacji – co to takiego
System Zarządzania Bezpieczeństwem Informacji (SZBI) to zbiór:
zarządzanych wspólnie przez organizację w celu ochrony swoich zasobów informacyjnych. Innymi słowy, jest to całość dokumentacji dotyczącej ochrony informacji w organizacji, a więc nie tylko danych osobowych ale także:
Zarządzanie bezpieczeństwem informacji ma zapewnić:
chronionych informacji. System musi uwzględniać następujące atrybuty
Kto musi wprowadzić System Zarządzania Bezpieczeństwem Informacji
Zarządzanie bezpieczeństwem informacji w przedstawionym rozumieniu do obowiązek podmiotów wykonujących zadania publiczne. Kto ma status podmiotu realizującego zadania publiczne? Brak jest definicji zarówno w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne jak i rozporządzeniu Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Tymczasem właśnie te akty prawne należy odnosić do SZBI.
W art. 2 tej ustawy zdefiniowano natomiast „podmiot publiczny”, który należy utożsamić z podmiotem wykonującym zadania publiczne.
Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji mają podmioty publiczne:
Poza wdrożeniem SZBI należy także ten system:
Opisywane reguły przestaną obowiązywać z dniem 24 maja 2024 r.
Procesor może przetwarzać dane osobowe przekazane przez administratorów będących jednostkami publicznymi, które wdrożyły SZBI. Czy w takiej sytuacji musi stosować SZBI? Niekoniecznie. Wprawdzie w umowie powierzenia właściwie jest uregulowanie:
Dlatego administrator może oczekiwać stosowania rozwiązań pochodzących z tego systemu także od procesora. Niemniej jednak takie wymogi na procesora mogłaby nakładać jedynie umowa powierzenia. W braku odpowiednich zapisów w umowie procesor nie musi wdrażać Systemu Zarządzania Bezpieczeństwem Informacji.
Przeczytaj także: Czy procesor musi stosować SZBI
Jak już wskazano, zarządzanie bezpieczeństwem informacji ma obejmować także (ale nie tylko) dane osobowe. W związku z tym istnieje możliwość połączenia dokumentacji dotyczącej danych osobowych i pozostałych informacji np. w dokumencie nazwanym „instrukcja zarządzania bezpieczeństwem” lub „polityka bezpieczeństwa”.
Zagadnienia związane z bezpieczeństwem danych osobowych będą objęte dokumentacją w ramach SZBI.
Wdrożenie i stosowanie Systemu Zarządzania Bezpieczeństwem Informacji wiąże się z dodatkowymi obowiązkami dla podmiotu publicznego. Wymieniono je w § 20 ust. 2 rozporządzenia RM z 12 kwietnia 2012 r. Jest to katalog otwarty.
|
Lp. |
Obowiązki w ramach zarządzania bezpieczeństwem informacji |
|
1. |
Zapewnij aktualizację regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia (uwzględniając cyberbezpieczeństwo). |
|
2. |
Dbaj o aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji (obejmującą ich rodzaj i konfigurację) |
|
3. |
Przeprowadzaj okresowe analizy ryzyka związanych z naruszeniem poufności, integralności lub dostępności informacji. Podejmuj działania mitygujące to ryzyko, stosownie do wyników przeprowadzonej analizy. |
|
4. |
Ustanawiaj dodatkowe zabezpieczenia w systemach IT (w zależności od rezultatów analiz ryzyka). |
|
5. |
Zapewnij, by osoby zaangażowane w proces przetwarzania informacji posiadały stosowne uprawnienia i uczestniczyły w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji. |
|
6. |
Niezwłocznie modyfikuj uprawnienia wskazanych osób, w przypadku zmiany ich zadań. |
|
7. |
Zapewnij szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
|
|
8. |
Zapewnij ochronę przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
|
|
9. |
Ustal podstawowe zasady zapewniające bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość. |
|
10. |
Zabezpiecz informacje w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie. |
|
11. |
Uwzględniaj w umowach serwisowych podpisanych ze stronami trzecimi zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji. |
|
12. |
Ustal zasady postępowania z informacjami zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych. |
|
13. |
Zapewnij odpowiedni poziomu bezpieczeństwa w systemach IT, polegającego w szczególności na:
|
|
14. |
Niezwłocznie zgłaszaj incydenty naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. Przeczytaj także: Co zawrzeć w procedurze reagowania na incydenty oraz pobierz wzór karty oceny incydentu. |
|
15. |
Zapewnij okresowy audyt wewnętrzny dotyczący bezpieczeństwa informacji. |
Jednym ze najważniejszych obowiązków w ramach zarządzania bezpieczeństwem informacji jest zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji.
Okresowy audyt bezpieczeństwa informacji przeprowadza się co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia RM z 12 kwietnia 2012 r.).
Audyt bezpieczeństwa przeprowadzany jest na podstawie norm związanych z normą ISO 27001, w tym:
Oznacza to, że audytor, którego wybierze jednostka, musi wykazać się najwyższym poziomem znajomości tych norm.
Przeprowadzenie audytu należy udokumentować. W tym celu warto zobowiązać audytora do raportowania podejmowanych czynności np. w elektronicznym rejestrze, który potem można wydrukować.
Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
