Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Dobre praktyki dotyczące informatycznych nośników danych

18-05-2017 Autor: Tomasz Cygan

W artykule omawiamy spotykane w praktyce rozwiązania dotyczące zarządzania informatycznymi nośnikami danych, m.in. płyty CD, pamięć USB, karta micro SD czy dyski zewnętrzne, ale również inny sprzęt informatyczny (komputery, w tym przenośne) z uwagi na łatwość przenoszenia pewnych rozwiązań.

 

Wzrastająca liczba i różnorodność nośników danych nakazują rozważyć, w jaki sposób organizacja powinna nimi zarządzać oraz jak powinna dbać o bezpieczeństwo informacji, które się na nich znajdują. Przepisy prawa nie zawierają w tym zakresie żadnych szczególnych regulacji z wyjątkiem sposobu postępowania w przypadku niszczenia, likwidacji oraz przekazywania nośników podmiotom zewnętrznym1.

Można wśród nich znaleźć jednak definicję legalną samego informatycznego nośnika danych. Zgodnie z art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne2, informatyczny nośnik danych to materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej.

 

Regulacje prawne


Punktem wyjścia do analizy poszczególnych nośników danych będą regulacje prawne dotyczące zabezpieczenia wszelkich urządzeń informatycznych. Nie ulega wątpliwości, że samo użytkowanie komputerów wymaga stosowania odpowiednich zabezpieczeń. W zakresie komputerów stacjonarnych brakuje jakichkolwiek wskazań poza ogólnym postulatem dbania o zachowanie poufności, integralności i rozliczalności przetwarzanych danych osobowych3. Rozwiązania możliwe do wdrożenia mogą dotyczyć:

  • należytego ich umiejscowienia (w pomieszczeniach, w których ktoś przebywa, ustawionych w ten sposób, że zawartość ekranu jest niedostępna dla osób nieupoważnionych, w szczególności tak, aby ekran był odwrócony od wejścia do pomieszczenia);
  • podłączenia (listwa zasilająca służy wyłącznie dla sprzętu komputerowego);
  • eksploatacji (stosowanie odpowiednich procedur rozpoczęcia, zawieszenia i zakończenia pracy z systemem informatycznym). Przykładem realizacji tych obowiązków może być stosowanie programów antywirusowych, programów antyspamowych, tworzenie kopii zapasowych danych.

Przepisy dostarczają także pewnych wskazówek w zakresie zabezpieczenia komputerów przenośnych. Zgodnie z pkt V załącznika A do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, osoba użytkująca komputer przenośny, zawierający dane osobowe, zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. W związku z tym należy rozważyć pojęcie szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania. Najprostszym rozwiązaniem może być w tym zakresie zakaz wynoszenia komputerów przenośnych poza obszar przetwarzania danych osobowych4.

 

Ochrona komputerów przenośnych


Nie ulega wątpliwości, że ochrona komputerów przenośnych poza obszarem przetwarzania danych osobowych posiada istotne znaczenie, ponieważ urządzenie, na którym znajdują się dane osobowe, opuszcza miejsce, w którym są stosowane środki zabezpieczające dane osobowe. Odpowiedzialność administratora danych rozciąga się wówczas na należyte zabezpieczenia danych osobowych, nad którymi nie ma fizycznego władztwa i które niejako są wyjęte z systemu bezpieczeństwa obowiązującego na obszarze przetwarzania danych osobowych.

Same przepisy są jednak w tym zakresie dość oszczędne. Wskazują bowiem wyłącznie na konieczność stosowania szczególnej ostrożności oraz środków ochrony kryptograficznej wobec przetwarzanych danych osobowych.

[...]

Autor jest adwokatem, konsultantem i wykładowcą, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.