Dzisiaj omówimy sobie przygotowanie dokumentu o bardzo dużym znaczeniu dla bezpieczeństwa informatycznego firmy. Jest to przewodnik dla każdego pracownika, zbiór analiz i wytycznych na temat postępowania odnośnie wielu zagadnień IT podnoszących sprawność i skuteczność działania w momencie zagrożenia bezpieczeństwa. A więc co powinna zawierać w sobie Instrukcja Zarządzania Systemem Informatycznym.
Zacznij od podstawy prawnej. Sam dokument jest przystosowany do systemów, które przetwarzają dane osobowe a pisząc go musisz kierować się wytycznymi bezpieczeństwa informacji jakie znajdziesz w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024). Tyle tytułem wstępu.
Musisz wyszczególnić w instrukcji kto będzie przetwarzał dane osobowe. Jeśli tylko ty i twoja firma to wpisz jej pełne dane już na samym początku. Jeśli prowadzisz więcej niż jedno przedsiębiorstwo i są one bliźniaczo podobne, to możesz użyć tej instrukcji również dla nich. Jednak ustal czy nie ma znaczących różnic organizacyjnych i technicznych, które należałoby uwzględnić. Pamiętaj, że Instrukcja Zarządzania Systemem Informacyjnym musi koegzystować z Polityką Bezpieczeństwa firmy, dlatego jeśli jeszcze jej nie masz, to zacznij wpierw od niej, w dalszej kolejności przechodząc do IZSI (Instrukcja Zarządzania Systemem Informatycznym).
System i nadawanie uprawnień użytkownikom
Administrator Danych Osobowych (ADO) samodzielnie przyznaje i odbiera pracownikom firmy, upoważnienia do przetwarzania danych osobowych. ADO musi przeprowadzić w tym zakresie pełne szkolenie a uczestnik musi poświadczyć to swoim podpisem. Wzór upoważnienia powinieneś mieć przygotowany i dołączony do Polityki Bezpieczeństwa. Bez tych formalności, pracownik nie może zacząć przetwarzać danych osobowych. Ta procedura jest konieczna nie tylko aby zebrać podpisy (co się nagminnie zdarza) ale również po to aby pracownik wiedział jak ma się zachować w krytycznych sytuacjach.
W dalszej kolejności, pracownikowi zostaje nadany indywidualny identyfikator i hasło (w praktyce login, hasło, ID). Hasło należy kategorycznie zmienić bowiem są one generowane w sposób bardzo podobny do siebie i są przewidywalne. Nie jest to oczywiście reguła. Jeśli twój system nadaje dobrej jakości hasła to możesz być spokojny. Hasło musi składać się z małych i dużych liter, cyfr oraz znaków specjalnych. Jego długość powinna być nie mniejsza niż 10 znaków.
W momencie kiedy pracownikowi zostaje cofnięta zgoda na przetwarzanie danych, wówczas jego konto zostaje natychmiast zablokowane lub usunięte.
Każdy pracownik musi wiedzieć, że jest odpowiedzialny za działania jakie zostają wykonane przy użyciu jego identyfikatora oraz hasła dlatego tak ważne jest indywidualne nadawanie uprawnień. Nie pomogą tłumaczenia, że kolega chciał coś zrobić na szybko. Poza tym taka osoba może wykonywać czynności, do których została upoważniona. I tylko takich.
Wszyscy pracownicy dopuszczeni do przetwarzania danych osobowych są zobowiązani do zachowania ich w tajemnicy. Zabrania się również wynoszeni jakichkolwiek nośników zawierających dane osobowe (wrażliwe) poza pomieszczenie, w którym odbywa się przetwarzanie, chyba że wyraził na to zgodę ADO. Jeśli ktoś nie dostosuje się do tych wymagań, będzie to traktowane jako naruszenie podstawowych obowiązków pracowniczych.
Administrator Danych Osobowych ma obowiązek prowadzić rejestr użytkowników systemu oraz ich upoważnień. Może odbywać się to w formie elektronicznej lub papierowej jednak musi to być rejestr aktualny.
Naruszenie bezpieczeństwa przetwarzania
Naruszenie bezpieczeństwa przetwarzania powstaje w momencie, kiedy stwierdzisz naruszenie zbioru Danych Osobowych systemu służącego do jego przetwarzania, komunikacji w sieciach teleinformatycznych oraz innych zdarzeń, które mogą mieć wpływ na bezpieczeństwo. Należy pamiętać, że naruszenie może odbywać się również w przypadku nieautoryzowanej modyfikacji urządzeń oraz ujawnienia metodologii pracy oprogramowania służącego do przetwarzania danych lub innych procedur z tym związanych.
Jeśli takowe działania zostaną stwierdzone, należy o tym powiadomić ADO lub / i swojego przełożonego, który często występuje w roli zastępcy ADO. Postaraj się opisać w instrukcji procedury jakie powinny zostać podjęte aby powstrzymać niepożądane działanie oraz ustalić skutki i sprawców naruszenia. Bardzo dobrym pomysłem jest mieć odpowiednio przygotowana instrukcję postępowania na okoliczność takich zdarzeń, która pomoże w prawidłowym zabezpieczeniu stanowisk roboczych w celu zebrania materiału dowodowego do późniejszej analizy. Na koniec należy spisać ze zdarzenia raport, który uwzględnia wszystko powyższe i dokładnie opisuje całą sytuację. To w gruncie rzeczy należy już do ADO w połączeniu z bardziej technicznymi pracownikami. Sam raport powinien być jak najbardziej techniczny aby móc wyciągnąć z niego odpowiednie wnioski i wprowadzić poprawki bezpieczeństwa. ADO musi sam podjąć decyzję czy zasadne jest zawiadamiać o zdarzeniu instytucje zewnętrzne oraz specjalistów, którzy mogą pomóc w ustaleniu przyczyn naruszenia.
Składowe raportu ze zdarzenia naruszenia powinny zawierać takie informacje jak:
- dane osoby zgłaszającej naruszenie oraz innych, którzy posiadają ważne informacje
- spisanie czasu i miejsca naruszenia
- opisanie okoliczności w których doszło do naruszenia oraz jego rodzaju
- opis podjętych działań zapobiegawczych dalszemu naruszeniu wraz z uzasadnieniem
- ocena „zniszczeń”
- postępowanie wyjaśniające i naprawcze – przeanalizować naruszenie, opracować poprawki, wdrożyć je w firmie
Jest to dobre miejsce aby przypomnieć o zasadności wykonywania backupu. W takim przypadku może okazać się, że część danych została uszkodzona i wymagane jest jej odtworzenie z kopii zapasowych. Jeżeli jest to konieczne, a w mojej opinii każdy taki incydent tego wymaga, ADO powinien przeprowadzić szczegółową analizę zaistniałej sytuacji pod względem technicznym. Jeśli sam nie ma odpowiedniej wiedzy, to do tych czynności należy oddelegować pracownika / pracowników, którzy dysponują odpowiednimi umiejętnościami i doświadczeniem i mogą to ustalić. Wszystko musi się odbywać pod nadzorem ADO. Całe to działanie ma na celu wyeliminować podobne incydenty w przyszłości.
Opisuj procedury, stosowane metody i środki uwierzytelniania
Dość istotną kwestią jest opracowanie procedur na … w sumie to na wszystko co związane z bezpieczeństwem IT a co wydaje ci się koniecznością. Pamiętaj, że ty możesz mieć wiedzę techniczną i wiedzieć co należy robić w pewnych sytuacjach. Ale są inni pracownicy oddelegowani do przetwarzania danych, którzy mogą być zwykłymi użytkownikami, specjalizującymi się w sprzedaży, marketingu, księgowości itp. I nie mają oni stosownej wiedzy. Procedury będą dobrym narzędziem wpierającym w działaniu oraz bazą wiedzy.
Opisz wytyczne odnośnie pracy na komputerze. System operacyjny musi być aktualny, zarówno oprogramowanie dodatkowe. Zabrania się instalowania dodatkowych programów bez wiedzy ADO oraz obowiązuje bezwzględny nakaz blokowania komputera jeśli pracownik od niego odchodzi. Nie wolno ujawniać swoich danych logowania do systemu a każde podejrzane działanie powinno być od razu zgłaszane ADO. W przypadku nadania hasła tymczasowych , pracownik jest zobowiązany do jego zmiany od razu po zalogowaniu się do systemu (mowa o systemie przetwarzania danych). Samo hasło musi być zmieniane co 30 dni a najlepiej jak ta czynność będzie wymuszana przez system / program.
Monitoruj
ADO powinien nieustannie monitorować zabezpieczenia systemu służącego do przetwarzania danych. Trzeba również kontrolować i sprawdzać prawidłowość wykonywania kopii bezpieczeństwa danych, częstotliwości zmiany haseł. To wszystko powinno zostać opisane.
Szkolenia
Administrator Danych Osobowych jest odpowiedzialny za przeprowadzanie okresowych szkoleń dla pracowników zajmujących się procesem przetwarzania. Na szkoleniu powinny być poruszane zagadnienia związane z ochroną danych osobowych pod względem prawnym, procedurami jakie są stosowane przy przetwarzaniu danych, czynnościami jakie winny być przeprowadzane w trakcie całego procesu wykonywanego przez szeregowego pracownika.
Niemniej ważne jest instruowanie i nauczanie pracowników na co mają zwracać uwagę aby nie paść ofiarą cyber przestępców. Do takich działań zalecam wdrożenie okresów testowych na pracownikach, przeprowadzając szereg symulowanych ataków sieciowych i socjotechnicznych (miedzy innymi).
Procedura niszczenia nośników informacji
W firmie, nie tylko w Instrukcji Zarządzania Systemem Informatycznym, powinna być sporządzona instrukcja niszczenia nośników, na których znajdują się dane osobowe i dane wrażliwe. Można używać specjalnego w tym celu oprogramowania lub niszczyć nośnik mechanicznie uniemożliwiając jego odczytanie (bardziej skuteczne).
Zabrania się przekazywać nośników niezabezpieczonych kryptograficznie, do punktów serwisowych urządzeń. W momencie uszkodzenia nośnika, należy zakupić jego nową wersję oraz wgrać dane z kopii zapasowej. Stary nośnik należy zniszczyć mechanicznie.
Zabezpieczenie sieci, serwerów i komputerów stacjonarnych
Firma musi być stale i na bieżąco chroniona przed zagrożeniami płynącymi z intenretu oraz sieci lokalnej firmy. Nie podaję tutaj konkretnych rozwiązań z uwagi na to, że każda firma musi sama przeanalizować swoją infrastrukturę i dostosować do niej odpowiednie rozwiązania. Skutkiem tych działań ma być skuteczna zapora i filtracja zagrożeń na bieżąco aktualizowana i testowana, najlepiej za pomocą testów penetracyjnych.
Mniejsze firmy z racji ograniczonego budżetu na pewno wybiorą mniej kosztowne rozwiązania ale muszą dostosować się do podstawowych wytycznych jakimi są szyfrowanie komunikacji sieciowej (SSL), stosowanie skutecznych haseł dostępu i regularne ich zmienianie, ochrona antywirusowa w czasie rzeczywistym, zabezpieczenie kryptograficzne dysków twardych i innych nośników na których znajdują się przetwarzane dane, backupy.
§7 Rozporządzenia
Mowa tutaj o:
§7.
1.Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
1)daty pierwszego wprowadzenia danych do systemu;
2)identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3)źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4)informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5)sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2.Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3.Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
4.W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.
Musisz być przygotowany aby w każdej chwili wypełnić postanowienia powyższych punktów.
Podsumowanie
Instrukcja Zarządzania Systemem Informatycznym jest dokumentem, który musisz mieć. Być może powyższy tekst cię przeraża i wydaje się bardzo zniechęcający przez nawał obowiązków informacyjnych. Musisz przez to przebrnąć. Jeśli nie jesteś w stanie napisać go własnymi siłami to proponuje zlecić to odpowiednio wykwalifikowanej osobie (lub firmie), która przygotuje profesjonalną jego wersję zgodnie z obowiązującymi wytycznymi.